🇻🇳
Misa's Blog
  • 👋About me
  • 📘Learning
    • 🔰Tryhackme
      • 🖥️Room 1: Overpass
      • 🖥️Room 2 : LazyAdmin
    • 🔰Hackthebox
      • Machine 1: Agile (Medium)
    • 🕵️Web Application Security, Testing and Scaning - Portswigger
      • Server-site topics
        • SQL injection
        • Command injection
        • Directory traversal
        • File upload
        • Information disclosure vulnerabilities
        • Server-side request forgery (SSRF)
        • XXE injection
        • Access control vulnerabilities and privilege escalation
      • Client-site topics
    • ✏️Web Pentesting Lab
      • Untrusted Data - Khởi nguồn của lỗi bảo mật
      • File upload vulnerabilities
    • 🔑Vault
  • 🔓CTFs
  • 📝Certificate
  • 💻Online courses
    • CompTIA Pentest+
Powered by GitBook
On this page
  • Enumeration
  • Enumeration HTTP 80
  • Login to Manager website
  • Reverse Shell
  • Flag 1:
  • Flag 2 - Leo thang đặc quyền
  1. Learning
  2. Tryhackme

Room 2 : LazyAdmin

Easy linux machine to practice your skills

PreviousRoom 1: OverpassNextHackthebox

Last updated 2 years ago

Enumeration

Quét các cổng TCP đang mở bằng Nmap:

Như vậy, chỉ có 2 cổng mở là port 22 với dịch vụ SSH và port 80 với dịch vụ HTTP

Enumeration HTTP 80

  1. Tìm tệp và thư mục ẩn bằng gobuster:

Tiếp tục khai thác tìm bằng gobuster:

Một số thư mục ẩn cấp 2 được tìm thấy. Khám phá

1.1 /images: Đây chỉ là thư mục chứa những ảnh trên website

1.2 /js:

1.3 /inc: Đúng như tên lab, người quản trị đã quên 1 file back-up của cơ sở dữ liệu trên hệ thống mà cho phép bất kì ai cũng có thể truy cập.

Tải file này về và tìm kiếm những thứ có ích cho việc khai thác.

1.4 /as : login form

1.5 /_themes và /attachment đều rỗng

  1. Khám phá file mysql_backup, một tài khoản và mật khẩu quản trị được tìm thấy:

Username: manager Password: 42f749ade7f9e195bf475f37a44cafcb Dường như mật khẩu này bị mã hóa. Giờ đây, cần crack để tìm mật khẩu.

Mật khẩu được mã hóa bằng MD5 nhưng rất dễ đoán, chính vì vậy, mật khẩu được crack nhanh chóng.

Login to Manager website

Với tài khoản và mật khẩu trên, ta đăng nhập vào trang quản lí website

Thông tin thêm được biết thì Website đang phiên bản 1.5.1. Đối với trang quản lí này, ta có thể tạo và sửa đổi bất cứ thứ gì. Đến đây, việc cần thiết là thiết lập một kết nối về máy của chúng ta. Trước tiên, cần tải lên 1 file reverse shell:

Trong mục POST có phần tải file lên. Như vậy ta có thể upload file reverse của chúng ta ở đây.

Reverse Shell

File reverse_shell.php bị chặn không cho phép tải lên. Điều này là do tiện ích mở rộng .php đang được lọc và không được phép tải lên, do đó chúng tôi sẽ phải bỏ qua quá trình tải lên bằng cách đổi tên tập lệnh thành tiện ích mở rộng không phổ biến phtml, php5, ...

Thực thi tập lệnh và kiểm tra lại trình nghe nc. Kết nối đã được thiết lập.

Flag 1:

Flag 2 - Leo thang đặc quyền

Check đặc quyền của người dùng hiện tại trong hệ thống:

Người dùng www-data có thể thực thi tập lệnh trong file backup.pl mà không cần mật khẩu.

File backup.pl được sử hữu bởi root, chúng ta có thể đọc và thực thi nó và đồng thời khi chúng ta thực thi, nó sẽ chạy với quyền root. Nhưng chúng ta không thể sửa vì không có quyền ghi.

Nhưng trong file đó, có một tập lệnh khác đang được gọi.

Như vậy, có quyền ghi vào file này. Sửa IP và Port để kết nối với máy của chúng ta.

Thực thi tập lệnh:

Chiếm được quyền root và đọc cờ:

📘
🔰
🖥️
Một thư mục ẩn được tìm thấy
File reverse đã được tải lên.