【渗透测试】Devvortex - HackTheBox,简单的企业站点渗透,CMS+密码碰撞

最新推荐文章于 2024-06-20 18:31:22 发布
最新推荐文章于 2024-06-20 18:31:22 发布
阅读量888 收藏 3
点赞数 3
文章标签: 安全 网络安全 web安全 github 网络攻击模型 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74272345/article/details/134667995
版权

靶场信息

  • OS:Linux
  • 难度:Easy

PreEnumeration

# Nmap 7.94 scan initiated Mon Nov 27 20:39:04 2023 as: nmap -sC -sV -v -oN nmap.log 10.10.11.242
Nmap scan report for 10.10.11.242
Host is up (0.38s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 48:ad:d5:b8:3a:9f:bc:be:f7:e8:20:1e:f6:bf:de:ae (RSA)
|   256 b7:89:6c:0b:20:ed:49:b2:c1:86:7c:29:92:74:1c:1f (ECDSA)
|_  256 18:cd:9d:08:a6:21:a8:b8:b6:f7:9f:8d:40:51:54:fb (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-title: Did not follow redirect to http://devvortex.htb/
|_http-server-header: nginx/1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Nov 27 20:39:29 2023 -- 1 IP address (1 host up) scanned in 24.50 seconds

只有22和80端口

Web

访问web页面看到

DevVortex is a dynamic web development agency that thrives on transforming ideas into digital realities
DevVortex 是一家充满活力的 Web 开发机构,致力于将想法转化为数字现实

扫描目录(gobuster)、查看指纹信息(whatweb)、浏览这个站点也都没有发现可以利用的点
我们可以知道的是:devvortex.htb是一家Web开发公司的站点
企业站通常有子域名的,尝试用wfuzz扫描一下子域名

sudo apt install seclists # 如果没有下面这个字典,就先安装一下这个字典集

└─$ wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://devvortex.htb/" -H "Host: FUZZ.devvortex.htb" --hl 7

fuzz出子域名dev.devvortex.htb,写入hosts然后访问
gobuster扫描目录
在这里插入图片描述

  • adminisrator,访问一看是后台,弱口令试一遍没有用
  • README.txt,看到Joomla版本为4.2
    上网搜一下Joomla,知道这是一个建站平台,searchsploit搜出来一堆漏洞
    所以这就是一个常规的CMS类型的靶机了

Joomla Attack

这里选用这个漏洞searchsploit -m 51334
在这里插入图片描述

运行发现需要ruby的几个库,这里跟着报错安装就好了

sudo gem install httpx
sudo gem install docopt
sudo gem install paint

运行51334.py脚本
在这里插入图片描述

拿到了一组数据库的用户名密码lewis/P4ntherg0t1n5r3c0n##,用这组用户名密码碰撞一下Joomla后台成功登入
在这里插入图片描述

在Administrator Template里面在error.php中写个反弹shell
访问/administrator/templates/atum/error.php拿到www-data权限

Enum and GetUser

cat /etc/passwd看一下用户情况,只有一个/bin/bash用户logan

logan:x:1000:1000:,,,:/home/logan:/bin/bash

我们刚刚已经拿到了MySQL的用户名密码,那就可以进它数据库看看有没有logan的信息
在joomla数据库下sd4fg_users表中,我们看到了logon的一段hash
在这里插入图片描述
john直接爆,拿到明文
在这里插入图片描述

SSH直接连这个用户
在这里插入图片描述

Enum

sudo -l发现一个python脚本
在这里插入图片描述

在这里插入图片描述

能看到版本,searchsploit还有对应的Loacl Privilege Escalation
在这里插入图片描述

在这里插入图片描述

但是并没有成功

GetRoot by CVE-2023-1326

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apport

在这里插入图片描述

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1326
https://github.com/canonical/apport/commit/e5f78cc89f1f5888b6a56b785dddcb0364c48ecb

按照github里的poc去打

logan@devvortex:/var/crash$ ls                                                 
_home_logan_decoy.1000.crash  test.log  _usr_bin_sleep.1000.crash
logan@devvortex:/var/crash$ sudo /usr/bin/apport-cli -c _usr_bin_sleep.1000.crash

在这里插入图片描述

总结

一个采用了Joomla建站平台的企业Web站点渗透。基本过程如下:

  1. 主页面devvortex.htb没有可利用的点和敏感信息的出现,企业站通常都有子域名wfuzz找到dev.devvortex.htb这个子域名,是一个未开发完的网站
  2. gobuster扫描出Joomla后台/administrator,在searchsploit中发现一个信息泄露漏洞,拿到数据库的一组用户名密码,密码碰撞进入Joomla后台
  3. 然后是常规的CMS渗透思路,在用户可访问的PHP文件中添加反弹shell木马,拿到www-data权限
  4. 发现该Linux上的logon用户,在数据库中找到了logon的hash,john破解出明文密码然后SSH连接
  5. 通过CVE-2023-1326提权拿到root权限
WelK1n_
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
[渗透测试学习] Devvortex - HackTheBox
rev1ve的博客
12-08 805
我们用kali自带的工具去扫描出Joomla版本信息。然后修改error.php,添加反弹shell命令。发现80端口有http服务,并且是nginx服务。我们访问发现是企业站点,扫描一下是否存在子域名。,我们登录web界面访问robots.txt。由于ssh连接不上,我们采取反弹shell。刚开始ls还没找到,加个参数-al才发现有。然后记住该脚本序号,使用-m参数复制下来。发现有个脚本,我们谷歌尝试搜一下。尝试访问web界面,发现跳转到。但是我们发现目前用户的权限不够。查看一下得到密码,数据库名。
渗透测试实战 - 外网渗透内网穿透(超详细)
HAKUNAMATATATTA的博客
02-18 7177
渗透测试实验,外网渗透和内网穿透的详细操作过程以及内网代理和内网探测的方法
HackTheBox-Machines--Devvortex
七天
12-15 244
Devvortex 测试过程。
HTB-Devvortex
路漫漫其修远兮
12-11 762
继续进行敏感目录扫描,扫描出来了一个后台,尝试进行弱口令爆破(访问robots.txt文件泄露了目录文件信息)直接访问地址/api/index.php/v1/config/application?对后台进行爆破了很久都没有出来,然后找了半天没有线索发现robot.txt文件上发现是joomla的cms。使用gobuster工具爆破子域名,爆出了dev.devvortex.htb,更改hosts文件访问。开启监听,访问/templates/cassiopeia/error.php目录,反弹shell成功。
HTB-Devvortex-CVE-2023-1326
q
12-17 172
Devvortex使用nmap扫描服务器使用wfuzz进行子域名爆破爆破出dev的子域名,将子域名加入hosts使用gobuster对dev.devvortex.htb进行目录扫描扫描出administrator的目录发现登录页面扫描出README.txt,发现joomla版本为4.2发现是joomla cms在网上发现有专门的漏洞扫描工具:joomscan下载使用joomscan进行扫描扫描出joomla的版本为4.2.6 并且扫描出部分目录。
Error系列-CVE CIS-2023系统漏洞处理方案集合
tangdou369098655的博客
06-06 6099
网络安全-CVE - CIS 漏洞分析以及解决
渗透测试-靶机DC-1-知识点总结
qq_38678845的博客
01-11 2614
渗透测试靶机DC-1的知识点总结
千锋渗透测试学习专用文章管理系统php-cms网站源代码
07-30
千锋网络安全渗透测试Web架构安全分析章节配套的一个网站源码(cms.zip),用于安全渗透学习,名称为:文章管理系统。使用前需要先配置数据库,导入mysql文件。 这个网站仅用于千锋网络安全学习使用,内容来源网络,...
cmsPoc:CMS渗透测试框架-CMS Exploit Framework
02-05
注意项目正在中: 注意:2.0版本的poc库尚未更新相应接口,无法调用。若需使用,建议先使用1.0版本。cmsPoc 1.0要求python2.7 适用于Linux,Windows用法usage: cmspoc.py [-h] -t TYPE -s SCRIPT -u URLoptional ...
S-CMS中英双语装饰企业网站+手机版 v3.0 build20170
12-01
S-CMS中英双语装饰企业网站是以asp+access进行开发,自带一套PC模板和一套WAP模板的中英双语企业网站。 S-CMS中英双语装饰行业网站系统功能特点: 支持手机版网站 支持站内搜索 支持会
各大CMS网站模板--练习web渗透必备.zip
12-11
不错的靶场,即能练习网站搭建,又能熟悉网站结构,都有助于提高我们的web测试能力!所以这是一个不错的资源,希望对大家有所帮助!
DSCMS-Thinkphp企业网站CMS系统(含wap+微信) v1.2版
10-08
DScms是基于TP5.0框架开发,采用 PHP + Mysql 架构,是一款适合企业网站建设的 cms 建站系统,功能全面、 SEO 友好、双语言。现开发有五大功能模块:系统设置、用户管理、类容管理、运营
面试经验分享 | 24年6月某安全厂商HW面试经验
zkaqlaoniao的博客
06-17 615
也希望大家有什么护网相关的需求和建议都可以留在评论区,大家讨论下,嘿嘿嘿,希望大家伙都可以通过今年的护网面试。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。反射型XSS:反射型XSS攻击是一次性的攻击,当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
在物联网设备安全中,如何有效进行固件更新管理?
2403_84237550的博客
06-17 418
• 更新后持续监控设备状态,评估更新效果,及时发现并解决更新带来的新问题。在物联网设备安全中,有效进行固件更新管理是一个关键环节,涉及到多个步骤和策略,以确保更新过程既安全又高效。• 在部署固件更新前,进行全面的安全验证和兼容性测试,确保更新包的来源可靠,未被篡改,并且不会影响设备的正常运行。• 记录每次固件更新的详细信息,包括更新时间、版本号、更新内容和操作人员等,以便追溯和审计。• 加强用户对固件更新重要性的认识,教育用户如何正确执行和验证更新,提升整体安全意识。
MVC 框架安全
A526847的博客
06-17 623
举例来说,在“注入攻击”一章中,我们并没有使用 PHP 的 magic_quotes_gpc 作为一项 对抗 SQL 注入的防御方案,这是因为 magic_quotes_gpc 是有缺陷的,它并没有在正确的地方 解决问题。其次,对于一些常见的漏洞来说,由程序员一个个修补可能会出现遗漏,而在框架中统一 解决,有可能解决“遗漏”的问题。最后,在每个业务里修补安全漏洞,补丁的标准难以统一,而在框架中集中实施的安全方 案,可以使所有基于框架开发的业务都能受益,从安全方案的有效性来说,更容易把握。
【启明智显产品分享】Model3工业级HMI芯片详解系列专题(三):安全、稳定、高防护
ami82的博客
06-20 583
Model3芯片具备高达8KV的ESD HBM防护,在恶劣的工业环境中能够抵抗各种电磁干扰,提升系统可靠性;Model3芯片支持高精度电子脉宽调制(EPWM)控制,能够满足复杂电机控制和精细过程控制的需要,在控制应用中更加精准;Model3芯片内置4线电阻触摸屏驱动,为用户提供便捷的交互途径,降低了外围BOM成本。
安全Linux Fanotify使用入门
追寻梦想的青春
06-19 734
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
企业防盗版,如何保障上网安全
最新发布
shenxinda_lu的博客
06-20 284
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
web渗透测试靶场cms
09-06
你可以尝试一些知名的Web渗透测试靶场CMS,如DVWA(Damn Vulnerable Web Application)、OWASP Juice Shop和WebGoat。这些靶场CMS都是为了帮助安全专业人员和开发者学习和实践Web渗透测试技术而设计的,它们提供了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值