靶场信息
- OS:Linux
- 难度:Easy
PreEnumeration
# Nmap 7.94 scan initiated Mon Nov 27 20:39:04 2023 as: nmap -sC -sV -v -oN nmap.log 10.10.11.242
Nmap scan report for 10.10.11.242
Host is up (0.38s latency).
Not shown: 998 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 48:ad:d5:b8:3a:9f:bc:be:f7:e8:20:1e:f6:bf:de:ae (RSA)
| 256 b7:89:6c:0b:20:ed:49:b2:c1:86:7c:29:92:74:1c:1f (ECDSA)
|_ 256 18:cd:9d:08:a6:21:a8:b8:b6:f7:9f:8d:40:51:54:fb (ED25519)
80/tcp open http nginx 1.18.0 (Ubuntu)
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
|_http-title: Did not follow redirect to http://devvortex.htb/
|_http-server-header: nginx/1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Nov 27 20:39:29 2023 -- 1 IP address (1 host up) scanned in 24.50 seconds
只有22和80端口
Web
访问web页面看到
DevVortex is a dynamic web development agency that thrives on transforming ideas into digital realities
DevVortex 是一家充满活力的 Web 开发机构,致力于将想法转化为数字现实
扫描目录(gobuster)、查看指纹信息(whatweb)、浏览这个站点也都没有发现可以利用的点
我们可以知道的是:devvortex.htb
是一家Web开发公司的站点
企业站通常有子域名的,尝试用wfuzz
扫描一下子域名
sudo apt install seclists # 如果没有下面这个字典,就先安装一下这个字典集
└─$ wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://devvortex.htb/" -H "Host: FUZZ.devvortex.htb" --hl 7
fuzz出子域名dev.devvortex.htb
,写入hosts然后访问
gobuster扫描目录
adminisrator
,访问一看是后台,弱口令试一遍没有用README.txt
,看到Joomla版本为4.2
上网搜一下Joomla,知道这是一个建站平台,searchsploit
搜出来一堆漏洞
所以这就是一个常规的CMS类型的靶机了
Joomla Attack
这里选用这个漏洞searchsploit -m 51334
运行发现需要ruby的几个库,这里跟着报错安装就好了
sudo gem install httpx
sudo gem install docopt
sudo gem install paint
运行51334.py脚本
拿到了一组数据库的用户名密码lewis/P4ntherg0t1n5r3c0n##
,用这组用户名密码碰撞一下Joomla后台成功登入
在Administrator Template里面在error.php中写个反弹shell
访问/administrator/templates/atum/error.php
拿到www-data权限
Enum and GetUser
cat /etc/passwd
看一下用户情况,只有一个/bin/bash用户logan
logan:x:1000:1000:,,,:/home/logan:/bin/bash
我们刚刚已经拿到了MySQL的用户名密码,那就可以进它数据库看看有没有logan的信息
在joomla数据库下sd4fg_users表中,我们看到了logon的一段hash
john直接爆,拿到明文
SSH直接连这个用户
Enum
sudo -l
发现一个python脚本
能看到版本,searchsploit还有对应的Loacl Privilege Escalation
但是并没有成功
GetRoot by CVE-2023-1326
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1326
https://github.com/canonical/apport/commit/e5f78cc89f1f5888b6a56b785dddcb0364c48ecb
按照github里的poc去打
logan@devvortex:/var/crash$ ls
_home_logan_decoy.1000.crash test.log _usr_bin_sleep.1000.crash
logan@devvortex:/var/crash$ sudo /usr/bin/apport-cli -c _usr_bin_sleep.1000.crash
总结
一个采用了Joomla
建站平台的企业Web站点渗透。基本过程如下:
- 主页面
devvortex.htb
没有可利用的点和敏感信息的出现,企业站通常都有子域名wfuzz
找到dev.devvortex.htb
这个子域名,是一个未开发完的网站 gobuster
扫描出Joomla后台/administrator
,在searchsploit
中发现一个信息泄露漏洞,拿到数据库的一组用户名密码,密码碰撞进入Joomla后台- 然后是常规的
CMS
渗透思路,在用户可访问的PHP文件中添加反弹shell
或木马
,拿到www-data
权限 - 发现该Linux上的
logon
用户,在数据库中找到了logon
的hash,john破解出明文密码然后SSH连接 - 通过
CVE-2023-1326
提权拿到root权限