[tryhackme] LazyAdmin

정보수집

• OpenSSH 7.2p2
• Apache httpd 2.4.18
• SweetRice CMS
  
  

< nmap 스캔 결과 >

< gobuster 툴을 이용한 디렉토리 스캔 >

< /content 접속하여 SweetRice 서비스 확인 >

 

서비스분석

• SweetRice Backup Disclosure 취약점을 통해 버전(1.5.1) 및 계정정보 탈취
• John the Ripper로 탈취한 패스워드 크랙
• SweetRice Arbitrary File Upload 취약점을 통해 파일 업로드 가능 확인
  
  

< Searchsploit 결과 >

< Backup Disclosure (백업 누출) txt >

< /content/inc >

< latest.txt에서 서비스 버전 확인 >

...
s:5:"admin";s:7:"manager";
s:6:"passwd";s:32:"42f749ade7f9e195bf475f37a44cafcb";
...

< John the Ripper 패스워드 크랙 >

Exploit

• 탈취한 계정을 사용하여 리버스쉘 업로드
• Target 쉘 획득
  
  

< Arbitrary File Upload Exploit으로 reverse shell 업로드 >

< Exploit 성공 >

 

Post-Exploit

• 'sudo -l' 명령어로 sudo로 실행할 수 있는 명령어 목록 확인
• 누군가 남겨놓은 sudo 권한이 있는 reverse shell을 통해 root 권한 획득
  
  

< sudo 권한으로 실행할 수 있는 파일 목록을 확인 >

< 기존 해킹에 사용된 sudo 권한 reverse shell 활용 >

< root 쉘 획득 >