{"id":16,"date":"2025-03-27T17:05:36","date_gmt":"2025-03-27T16:05:36","guid":{"rendered":"https:\/\/fromkiddietorobot.fr\/?p=16"},"modified":"2025-03-27T19:34:19","modified_gmt":"2025-03-27T18:34:19","slug":"lazyadmin","status":"publish","type":"post","link":"https:\/\/fromkiddietorobot.fr\/index.php\/2025\/03\/27\/lazyadmin\/","title":{"rendered":"LazyAdmin"},"content":{"rendered":"\n
\n

https:\/\/tryhackme.com\/room\/lazyadmin<\/a><\/p>\n\n\n\n

Easy linux machine to practice your skills<\/p>\n<\/blockquote>\n\n\n\n

Phase d’\u00e9num\u00e9ration<\/h2>\n\n\n\n

nmap <ip_address> :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

On voit qu’il y a les ports 22:ssh et 80:http. Voyons voir ce qui se trouve sur le serveur web.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"
contenu du sous dossier \/content<\/figcaption><\/figure>\n\n\n\n

On apprend sur le site qu’il est g\u00e9r\u00e9 par un CMS du nom de SweetRice.
Voyons voir si nous pouvons exploiter ce CMS gr\u00e2ce au site exploit-db.com<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nous allons nous pencher sur une exploitation sp\u00e9cifique: SweetRice 1.5.1 – Backup Disclosure<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Elle nous indique que nous pouvons acc\u00e9der librement au fichier de backup de la base de donn\u00e9es du site. Tentons de la r\u00e9cup\u00e9rer sur notre site afin de voir si des informations pourraient nous \u00eatre utile \u00e0 r\u00e9cup\u00e9rer des identifiants par exemple.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Nous pouvons bien t\u00e9l\u00e9charger la backup mysql ! <\/p>\n\n\n\n

Regardons maintenant \u00e0 l’int\u00e9rieur :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Phase d’exploitation<\/h2>\n\n\n\n

On finit bien par trouver un login\/mdp dans le fichier MySQL, testons de nous connecter au CMS:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

La connexion est faite.
Notre but est maintenant de mettre un reverse shell en place sur le site, pour cela je me sers du site : revshells.com<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

On vient placer notre code dans le dossier “Ads” afin de le lancer apr\u00e8s.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dans un terminal, on \u00e9coute le port 31337 (port dont je d\u00e9cide moi-m\u00eame le nombre dans mon reverse shell) gr\u00e2ce \u00e0 la commande Netcat afin de r\u00e9cup\u00e9rer le shell quand notre exploit aura \u00e9t\u00e9 lanc\u00e9<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Et une fois dans le dossier, on peut lancer notre reverse shell:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"
TIENS ! Nous avons acc\u00e8s \u00e0 la machine.<\/figcaption><\/figure>\n\n\n\n

Ensuite, on vient mettre en place un full TTY sur le shell en lan\u00e7ant les commandes suivantes :<\/p>\n\n\n\n

python3 -c 'import pty; pty.spawn(\"\/bin\/bash\")'\n\nstty raw -echo; fg; ls; export SHELL=\/bin\/bash; export TERM=screen; stty rows 38 columns 116;<\/code><\/pre>\n\n\n\n
On a maintenant un vrai shell :<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
On obtient le flag user.txt :<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Phase d’\u00e9l\u00e9vation de privil\u00e8ges<\/h2>\n\n\n\n
Pour \u00e9lever nos privil\u00e8ges voyons les commandes que nous pouvons lancer en compte root :<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Voyons voir ce fichier…<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Un shell qui se lance avec du perl via le fichier copy.sh, creusons.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Un netcat qui pointe vers l’adresse 192.168.0.190 et pointe sur le port 5554, essayons de changer cela pour le tirer \u00e0 notre avantage :<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
On a plus qu’\u00e0 lancer le fichier en sudo avec une \u00e9coute sur un autre terminal et le tour sera jou\u00e9!<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Et voil\u00e0, nous sommes pass\u00e9s root sur la machine et pouvons r\u00e9cup\u00e9rer le flag correspondant!<\/p>\n\n\n\n
\"\"<\/figure>\n","protected":false},"excerpt":{"rendered":"
“Easy linux machine to practice your skills.”<\/p>\n","protected":false},"author":3,"featured_media":60,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-16","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ctf"],"_links":{"self":[{"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/posts\/16","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/comments?post=16"}],"version-history":[{"count":9,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/posts\/16\/revisions"}],"predecessor-version":[{"id":97,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/posts\/16\/revisions\/97"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/media\/60"}],"wp:attachment":[{"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/media?parent=16"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/categories?post=16"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fromkiddietorobot.fr\/index.php\/wp-json\/wp\/v2\/tags?post=16"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}