lunes, 16 de noviembre de 2020

TryHackMe - LazyAdmin

 Bienvenidos una vez más a Who is secure. Hoy vengo con el walkthrough de una máquina de TryHackMe, LazyAdmin. En esta máquina vamos a explotar una subida de archivos del CMS SweetRice para conseguir ejecutar código y vamos a escalar privilegios gracias a unos fallos de permisos en un script y en el archivo sudoers.

Para empezar, como siempre, vamos a hacer un escaneo con furious para obtener los puertos abiertos y con nmap para ver qué servicios contienen y sus versiones. Yo tengo configurados estos comandos en un script en bash al que llamo con la orden "scan".

 

 

 Como vemos, sólo tenemos una página web y SSH activos, así que vamos a inspeccionar la web.


 

 

A simple vista, es una instalación por defecto de Apache2. Vamos a enumerar directorios con ffuf.


 

 El directorio "content" puede ser interesante, así que vamos a inspeccionarlo.



Como veis, podemos identificar el CMS que usa, SweetRice. Ahora vamos a realizar una búsqueda de exploits para este CMS con searchsploit.



No he podido detectar la versión del CMS pero el fallo de copias de seguridad me llama la atención y es para la última versión con fallos encontrados. Vamos a explotarlo.



El fallo se basa únicamente en que las copias se guardan en la ruta "/inc/mysql_backup" y como se puede apreciar, funciona. Vamos a pasar el archivo a nuestra máquina y lo inspeccionamos.



Aquí podemos ver los datos que almacena la base de datos, entre esos datos, el usuario y el hash. Ahora necesitaremos varias cosas, primero, obtener la contraseña que corresponde a ese hash y después encontrar el panel de acceso. Lo primero será obtener la contraseña. El procedimiento que suelo seguir es pasar el hash por CrackStation por si lo consigue automáticamente y luego hacer fuerza bruta con John. En este caso no será necesario usar John.



Por el bien de la plataforma, corto el resultado, pero ya tenemos la contraseña que vamos a usar como podéis apreciar por el código de colores.

Ahora necesitamos encontrar el panel de entrada. Como es un CMS lo primero que hago es buscar en la documentación o en distintas páginas las rutas por defecto. En este caso, gracias a vulners he encontrado el directorio "as".