Bienvenidos una vez más a Who is secure. Hoy vengo con el walkthrough de una máquina de TryHackMe, LazyAdmin. En esta máquina vamos a explotar una subida de archivos del CMS SweetRice para conseguir ejecutar código y vamos a escalar privilegios gracias a unos fallos de permisos en un script y en el archivo sudoers.
Para empezar, como siempre, vamos a hacer un escaneo con furious para obtener los puertos abiertos y con nmap para ver qué servicios contienen y sus versiones. Yo tengo configurados estos comandos en un script en bash al que llamo con la orden "scan".
Como vemos, sólo tenemos una página web y SSH activos, así que vamos a inspeccionar la web.
A simple vista, es una instalación por defecto de Apache2. Vamos a enumerar directorios con ffuf.
El directorio "content" puede ser interesante, así que vamos a inspeccionarlo.
Como veis, podemos identificar el CMS que usa, SweetRice. Ahora vamos a realizar una búsqueda de exploits para este CMS con searchsploit.
No he podido detectar la versión del CMS pero el fallo de copias de seguridad me llama la atención y es para la última versión con fallos encontrados. Vamos a explotarlo.
El fallo se basa únicamente en que las copias se guardan en la ruta "/inc/mysql_backup" y como se puede apreciar, funciona. Vamos a pasar el archivo a nuestra máquina y lo inspeccionamos.
Aquí podemos ver los datos que almacena la base de datos, entre esos datos, el usuario y el hash. Ahora necesitaremos varias cosas, primero, obtener la contraseña que corresponde a ese hash y después encontrar el panel de acceso. Lo primero será obtener la contraseña. El procedimiento que suelo seguir es pasar el hash por CrackStation por si lo consigue automáticamente y luego hacer fuerza bruta con John. En este caso no será necesario usar John.
Por el bien de la plataforma, corto el resultado, pero ya tenemos la contraseña que vamos a usar como podéis apreciar por el código de colores.
Ahora necesitamos encontrar el panel de entrada. Como es un CMS lo primero que hago es buscar en la documentación o en distintas páginas las rutas por defecto. En este caso, gracias a vulners he encontrado el directorio "as".