靶机实战(3)：GlasgowSmile-v1.1

靶机网址：GlasgowSmile-v1.1^[1]

实战思路：

1. 主机发现

2. 端口发现（服务、组件、版本）

3. 漏洞发现（获取权限）

   1. 22端口/SSH服务

      1. 组件漏洞

      2. 口令漏洞

   2. 80端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞（目录、文件）

一、主机发现

启动虚拟机，直接就获得了主机的IP地址。

二、端口发现（服务、组件、版本）

使用命令sudo -u root nmap 10.58.81.115 -n -Pn -p- --reason -sV -sC -O获得主机开放的端口、提供的服务、使用的组件、组件的版本。

开放的端口	提供的服务	使用的组件	组件的版本
22/tcp	ssh	OpenSSH	7.9p1 Debian 10+deb10u2
80/tcp	http	Apache	httpd 2.4.38
-	os	Debian Linux	4.15 - 5.6

三、漏洞发现（获取权限）

22端口/SSH服务

组件漏洞

使用命令searchsploit OpenSSH 7.，未发现OpenSSH 7.9p1 Debian 10+deb10u2组件的Nday漏洞。

口令漏洞

使用命令hydra -C /usr/share/seclists/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt 10.58.81.115 ssh，未发现弱口令漏洞。

80端口/HTTP服务

组件漏洞

01、使用命令searchsploit Apache 2.4和searchsploit Apache 2.4.38，未发现组件Apache httpd 2.4.48的Nday漏洞。 

02、使用Wappalyzer、WahtRuns、BuiltWith、WhatWeb、FindSomething自动识别网站组件，无收获。

03、使用BurpSuite手动识别网站组件，无收获。

URL漏洞（目录、文件）

01、手动浏览

访问首页http://10.58.81.115/，发现啥也没有，是静态页面，妥妥的CTF风格。

02、目录扫描    

02-01、使用命令dirb http://10.58.81.115 -R对网站目录和文件进行遍历，发现/joomla/目录、/joomla/robots.txt文件、/joomla/index.php文件、/joomla/administrator/index.php文件等有价值的目录和文件，看来使用了Joomla CMS。

02-02、想先确认Joomla的版本，然后找Nday漏洞。但网站翻了半天，Burp Suite也看了半天，愣是找不到Joomla的版本。    

官网有介绍 如何查看Joomla版本^[2]，但仍然找不到。事后发现这里的Joomla是高版本，官网的介绍是登录后台查看。  

当时没招了，没办法就祭出大杀器msfconsole，发现版本是3.7.3-rc1。就很离谱，官网明明介绍这个版本需要登录后台查看。  

于是Wireshark抓msfconsole的包，发现是/joomla/administrator/manifests/files/joomla.xml 文件提到了Joomla的版本。那到底是Joomla官网不愿意说，还是他们确实也不知道，这就不得而知了。

既然知道了版本，就可以找Nday漏洞了。使用命令searchsploit Joomla 3.7发现只有3个不知能否利用的SQLi漏洞，根据介绍尝试利用后，发现都不能利用，真是白忙活了大半天。

02-03、/joomla/robots.txt文件中的目录，dirb基本都能发现，感觉是Joomla CMS的通用目录，去Github找Joomla的代码验证下，发现robots.txt中多了/bin/和/logs/目录， 但内容是空的或不存在。

02-04、/joomla/index.php文件和/joomla/administrator/index.php文件倒是有比较多可以尝试的漏洞，主要是SQLi和口令爆破，主要目的都是拿到web权限后再想办法拿webshell权限。

但是SQLi就不再尝试了，因为Joomla CMS是开源组件，找得到的SQLi Nday漏洞都尝试过了，所以试下口令爆破。一共找到3个登录接口，挑一个简单的来爆破。

重点爆破猜到的几个用户名：admin、joomla、joker，但是完全没收获。 

就连SSH也用这几个用户名再爆破了一次，也是完全没有收获。

事已至此，已经没招了，只能爆破更多的用户名和密码了。除了用更大的字典，还能通过对网站页面进行信息收集的方式，来获取针对性自定义的密码字典。

但是爆破SSH依然没有收获。

不过Joomla后台终于爆破出账号joomla、密码Gotham。    

02-05-01、拿到web权限之后就是拿webshell权限了，CMS系统首选文件上传漏洞。后台首页一眼望去，Media的图片上传和Templates的模板上传可以试试。

Media的图片上传，正常图片加上webshell代码都上传失败。    

随便点到选项Options发现有上传相关配置可以修改，能改的都给改了，仍然上传失败。但是正常文件又能上传成功，真是百思不得其解。    

02-05-02、于是尝试Templates的模板上传，有Beez3和Protostar两个模板，随便选择一个。    

Document链接点进去是How to use the Template Manager^[3]，有模板管理器的用法，还可以看到模板文件（webshell文件）的访问路径/templates/protostar/。

创建webshell文件，访问获得webshell权限。

在HackTricks^[4]网站找到Linux中PHP的反弹shell代码，通过webshell执行后获得稳定的webshell权限，甚至他还直接给提权到root账号了？

03、模糊测试

基于目前已知信息，没有对网站的目录和文件进行FUZZ的必要。    

04、信息收集

前面在Firefox翻找网站的流量全都走Burp Suite代理，在Burp Suite中未发现敏感信息泄露。

参考资料

[1]

GlasgowSmile-v1.1: https://www.vulnhub.com/entry/glasgow-smile-11,491/

[2]

如何查看Joomla版本: https://docs.joomla.org/How_to_check_the_Joomla_version%3F

[3]

How to use the Template Manager: https://docs.joomla.org/Special:MyLanguage/J3.x:How_to_use_the_Template_Manager

[4]

HackTricks: https://book.hacktricks.xyz/