1.Nmap端口掃描砾跃,Curling僅開放80盹牧、22端口加派。
nmap
2.Web服務(wù)信息搜集熟尉,這是一個(gè)由Joomla構(gòu)建的cms,管理頁面在默認(rèn)的administrator路徑下熙卡,需要用戶名和密碼杖刷。首先對(duì)網(wǎng)站路徑進(jìn)行Fuzz,可以找個(gè)一個(gè)隱藏的文本文件secret.txt驳癌,內(nèi)容是一個(gè)哈希值“Q3VybGluZzIwMTgh”挺勿,通過www.cmd5.com可以在線破譯明文:Curling2018!,這很可能是Joomla的登錄密碼喂柒。
gobuster -u http://10.10.10.150 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt,htm
/secret.txt
3.Joomla登錄嘗試不瓶,利用常規(guī)的admin等賬號(hào)登錄均失敗。返回web頁面重新尋找線索灾杰,可以發(fā)現(xiàn)蚊丐,一篇日志的署名為floris。利用該賬戶可以成功登錄Joomla后臺(tái)艳吠。
用戶名獲取
4.Joomla后臺(tái)上傳shell麦备,步驟如下圖文分解:
進(jìn)入Templates頁面
點(diǎn)擊右上角Options
啟用預(yù)覽功能并允許上傳php后綴的圖片格式
在Permissions頁面賦予全部權(quán)限并保存
返回Templates頁面,并編譯一套模板的文件
編輯index頁面,貼入webshell凛篙,執(zhí)行預(yù)覽就可以獲得一個(gè)反彈
5.在反彈的shell中可以看到user.txt但權(quán)限不夠不能cat黍匾。要想辦法切換到floris賬戶。在該路徑下還存在password_backup文件呛梆,將該文件取回锐涯。
權(quán)限不夠
6.根據(jù)文件格式看,這是一個(gè)十六進(jìn)制格式的文件輸出填物,可以用xxd -r還原為原始文件纹腌,之后是一連串的解壓操作,bzip2 到 gunzip 再到 bzip2 最后是 tar滞磺,完整解壓后能獲得password.txt升薯,包含密碼:5d<wdCbdZu)|hChXll
連續(xù)解壓
7.利用剛獲得的密碼ssh登錄目標(biāo),拿下user.txt击困。隨后上傳pspy涎劈,可以發(fā)現(xiàn)一個(gè)計(jì)劃任務(wù)每分鐘運(yùn)行一次,利用curl讀取/home/floris/admin-area/input中的指令執(zhí)行阅茶,并將結(jié)果寫入/home/floris/admin-area/report 责语。
pspy
因此,我們可以利用這個(gè)腳本讀取root flag目派。編輯/home/floris/admin-area/input:
echo "file:///root/root.txt" > /home/floris/admin-area/input
大約等待一分鐘可以獲取flag。
root
