TryHackme Daily Bugle

Comprometer una cuenta de Joomla CMS a través de SQLi, practique descifrar hashes y aumente sus privilegios aprovechando yum.

Bueno gente hoy vamos a tratar con una maquina de dificultad Hard.

Primeramente mas de los mismo de siempre ver puertos que esten abiertos.

# Nmap 7.94SVN scan initiated Fri Nov 17 17:32:53 2023 as: nmap -sCV -o22,80,3306 -oN target.txt 10.10.1.72
Nmap scan report for 10.10.1.72
Host is up (0.062s latency).
Not shown: 997 closed tcp ports (conn-refused)
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey: 
|   2048 68:ed:7b:19:7f:ed:14:e6:18:98:6d:c5:88:30:aa:e9 (RSA)
|   256 5c:d6:82:da:b2:19:e3:37:99:fb:96:82:08:70:ee:9d (ECDSA)
|_  256 d2:a9:75:cf:2f:1e:f5:44:4f:0b:13:c2:0f:d7:37:cc (ED25519)
80/tcp   open  http    Apache httpd 2.4.6 ((CentOS) PHP/5.6.40)
| http-robots.txt: 15 disallowed entries 
| /joomla/administrator/ /administrator/ /bin/ /cache/ 
| /cli/ /components/ /includes/ /installation/ /language/ 
|_/layouts/ /libraries/ /logs/ /modules/ /plugins/ /tmp/
3306/tcp open  mysql   MariaDB (unauthorized)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Fri Nov 17 17:34:34 2023 -- 1 IP address (1 host up) scanned in 101.46 seconds

Bueno observamos la version y los servicios que corren para cada uno.

Si vamos a la web observamos esto un login form y mas.

Si hacemos uso de whatweb nos dice que estamos ante un CMS Joomla.

Joomscan

Si hacemos uso de Joomscan observamos que nos sale la version del gestor y in directorio llamado administrator.

Si buscamos por internet nos topamos con este CVE para esta version de este gestor de contenido asi que nos lo pasamos a local y lo usaremos.

Si lo lanzamos sobre la direcion del servidor obtenemos un usuario y una contraseña en formato no legible.

Pasamos la contraseña no legible a un archivo llamado hash.

Como punto dos si le hacemos un hasdid nos sale tres posibles formatos.

Usamos nuestro amado rompe puertas John para obtener la contraseña despues de haver identificado el tipo de incriptado y tenemos una contraseña y un usuario donde las usaremos.

Nos vamos al directorio administrator y nos loguemos con las credenciales y pa dentro.

Estando dentro nos vamos a Extensions y luego nos vamos a template y escogemos este Beez3 y en el Index.php le metemos codigo PHP.

Ahora nos ponemos en escucha con Netcat y donde estamos editando el codigo despues que hemos cambiado a nuestra direccion IP la del VPN y el puerto por donde vamos a escuchar le damos en la parte de arriba Template Preview y ganamos acceso.

Si hacemos un whoami somos apache.

Ahora ya estando dentro revisamos los archivos de configuracion y encontramos contraseñas para el usuario jjameson, si hacemos un su jjameson un pivoting users ahora no somos apache, iguamente si usamos las credenciales para conectarnos por ssh igual nos funcionan.

Bandera del user.txt, primera bandera ya.

Escalada de privilegios yum

Si hacemos un sudo -l observamos que cualquier usuario puede ejecutar yum sin proporcionar contraseña vamos a aprovecharlo.

Si nos vamos a GTFOBINS tenemos una forma de escalar.

• Pegamos todo el comando que nos dice y vemos que si hacemo un whoami ahora somos root.

Maquina resuelta y como punto nuemero dos vamos por nuestra ultima bandera la de root.txt.