TRY HACK ME 渗透测试靶场,以基础为主层层深入,知识点讲解详细,对于想实现从零到一飞跃的白客,TRY HACK ME无非是最好的选择。而网络上资源良莠不齐,好的资源难找的一逼。因此,今天起我将与大家一起详细学习THM重要的ROOM里的内容,力求让每个人都能理解、掌握其中的内容,让我们一起学习、一起å进步、一起GET THE FLAG!
THM靶场:Daily Bugle
在这个房间中,我们将学习通过 SQLi 入侵 Joomla CMS 帐户,练习破解哈希并利用 yum 提升权限到root,这是一个相对比较简单的靶场,直接开秒吧!
启动机器,连接openvpn,点击“Start Machine”获取目标IP,本次测试使用KAIL作为攻击机,连接成功后显示如下:
可以看到,左边有一个“蜘蛛侠抢的新银行”的新闻标题,那这个主题应该和蜘蛛侠有关,右边有个登录页面,可能可以爆破或者绕过,先常规nmap探测一波端口:
export IP=10.10.xx.xx //设置靶机IP
nmap -Pn -T5 --max-retries 2500 -sC -sV -oN nmap/initial $IP //扫描开始,将结果保存在nmap/initial中
可以看到,虽然没有什么很好直接利用的服务端口,但是我们扫出了该网站的CMS,为joomla,这里我们使用一个很好用的扫描工具,可以在github上直接下载:https://github.com/stefanlucas/Exploit-Joomla。运行该工具进行扫描:
joomscan -url http://10.10.58.126
直接爆出了CMS版本3.7.0,后台管理页面administrator
搜索改版本漏洞,找到一个SQL注入漏洞,可以参考链接:https://blog.sucuri.net/2017/05/sql-injection-vulnerability-joomla-3-7.html,有关于这个漏洞的代码分析。我们这里直接找到了利用脚本:https://github.com/stefanlucas/Exploit-Joomla,下载下来直接运行就可以找到用户名和密码:
其中,用户名为jonah,密码为:
a$2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm
查询该hash值的加密方式,可以发现,为bcrypt
2
∗
2*
2∗, Blowfish (Unix)加密对方式:
构造hashcat命令,对hash值进行破解:
hashcat -m 3200 hash.txt /usr/share/wordlists/rockyou.txt //这里我使用字典rockyou.txt,可以在github上下载
这里爆了巨长的时间,总之,最后爆出来的结果是密码为spiderman123(这密码,真是无语了),我们找到之前扫出来的后台,成功登陆!
搜了一下,这个CMS可以执行反向shell,我们进入template “protostar”,把error.php里的代码改成kali里的反向shell,配置一下端口和IP,在kali设置一下监听端口,直接在网页访问就可以获取shell了:
我们进入home页面,下意识找一下flag,发现居然没有权限!(不演了,毕竟没提权)
我们进入var/www/html页面,看到有一个configuration.php页面,cat一下,获取到密码!
我们再用ssh直接登录jjameson这个账户,成功获取到user flag!
像往常一样,我们要尝试的第一件事是获取允许以 sudo 运行的命令列表的命令:sudo -l
看起来我们可以使用 sudo 来运行 Yum,在gtfobins上搜索yum,显示如下:
复制提权命令直接执行,我们成功提升权限至root!!!
最后进入root,get flag!!!
Daily Bugle 靶场通关小结
在这个房间中,我们一起学习了通过sql注入获取CMS后台用户名密码信息,构造反向shell获取普通权限,最后通过yum提升权限至root,其中最繁杂的部分应该是hash值的破解,这里我建议大家直接使用sqlmap抓个包把密码跑出来就完事了,hashcat和john the ripper都太慢了。如果有部分不明白的,可以把流程反反复复的多看几遍,同时也非常欢迎大家私信我,如果觉得内容做的不错的话,也可以关注我的公众号:HACKER 航仔 以获取最新消息并与我联系,十分感谢能看到这里的各位,虽然制作不易,看到你们的点赞我还是很开心的!我们下期再见,拜了个拜~~~
扫一扫
660
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
