Daliy Bugle
通过 SQL 注入,获取密码,进入 CMS 账户,破解哈希,最后利用 yum 来进行权限提升
首先使用 nmap 对于目标进行简单的端口扫描,发现开放端口比较少,先进入 80 端口的页面看看情况
看到首页,我们很容易就发现了第一个问题的答案
Access the web server, who robbed the bank?spiderman
接下来我们对于网页路径进行爆破,看看出来 index.php 还有什么
使用 dirsearch -u http://[IP]来爆破
我们对于其中的路径进行访问,发现在 administrator 路径下找到一个登录页面.不过其他路径大多都是空白,信息太少,我们对于 administrator 再一次进行爆破
对于爆破出来的目录进行查看,我在 /administrator/language/en-GB/install.xml的文件中找到了目标 Joomla 的版本是 3.7.0
然后获得 CMS 软件以及版本号,我们可以到漏洞库中查看有没有可以利用的代码
我们这里找到了一个 SQL 注入的漏洞
把那个 txt 文件下载下来,使用 searchsploit -m 路径
这里讲到使用方法,可以使用 sqlmap 进行攻击,我们再看到漏洞的 CVE 编号之后可以去网络中搜索有没有对应的利用脚本
https://github.com/stefanlucas/Exploit-Joomla
注意使用 python2.x 版本,使用之后就可以拿到了用户名以及对应的哈希值
这里可以使用 hash-identifier来查看一下可能的使用的哈希算法,可是结果没找到,不过这里的开头的 $2y显示是使用的 bcrypt 加密,那我们使用 john --format=bcrypt --wordlist=/usr/share/wordlists/rockyou.txt [ 存放哈希的文件 ]
很快就爆破出来,然后登录 CMS 后台
进入之后点击左侧的 Templates 列,然后点击Protostar Details and Files,进入这个页面,我们可以编辑替换里面的 PHP 文件内容,写入我们自己的 webshell 来获取反向 shell(这里使用的 php 的反弹 shell 文件在/usr/share/webshells/php/php-reverse-shell.php),然后保存一下文件就可以了
注意设置 IP 地址和端口号,然后本地设置好端口的监听 nc -lnvp [PORT]
然后访问 http://10.10.64.36/templates/protostar/error.php就可以获得一个 shell
由于身份是 apache我们只能够先访问一下/var/www/html 目录看看
在这里找到了 configuration.php文件,查看文件发现了密码,所以我们使用这个密码来尝试能不能使用 root 或者 jjameson 用户,使用 su 用户名来切换用户,发现这是 jjameson用户的密码,然后我们就可以到/home/jjameson 下找到 Flag
然后我们使用 sudo -l -n查看我们可以使用的 root 权限的命令
发现可以使用 yum命令
这个网站就是利用二进制文件来进行权限提升,只要一个命令拥有 root 权限,我们就可以利用来实现权限提升
看到有两种利用方法,我这里选择了 B,然后将所有命令进行复制直接粘贴到命令中直接就拿到了 root 权限,从而获得了最后的根 Flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
