前言

靶机：shenron-1

攻击：kali

都采用虚拟机，网卡为桥接模式

主机发现

使用arp-scan -l或netdiscover -r 192.168.1.1/24扫描

信息收集

使用nmap扫描端口

网站信息探测

查看页面，发现是apache2的默认界面，查看页面源代码，可能是目录型网站

使用gobuster、dirsearch、ffuf、dirb、dirbuster等工具就进行目录扫描

gobuster dir -u http://192.168.1.55 -w /usr/share/wordlists/dirb/big.txt -x php,zip,md,txt,html,jpg -b 404

发现目录joomla，可能是cms，访问joomla目录，发现确实如此

可以使用针对joomla的扫描工具joomscan

joomscan -u http://192.168.1.55/joomla

发现版本以及管理员登录界面

访问test目录，发现一个password，访问后，提示这里有信息，查看页面源代码，发现一个用户名密码

漏洞寻找

用户名admin，密码3iqtzi4RhkWANcu@$pa$$

尝试使用这个身份登录joomla/administrator的管理员界面，发现确实可以

可以通过这个页面，收集靶机中的信息，发现php等信息

漏洞利用

测试功能点，在扩展中，有主题模块，可以写入修改文件，那么就写一个php的反弹shell，可以把kali中的/usr/share/webshells/php/php-reverse-shell.php中的内容粘贴

然后在kali中开启监听，再使用浏览器访问，默认的beez3模板的地址是joomla/templates/bezz3，其后跟上脚本shell.php即可

使用dpkg -l | grep python查看有无安装python，使用python获取交互式界面

靶机内信息收集

使用find寻找具有SUID权限的文件，发现sudo，测试，发现还是需要密码的

使用find寻找capabilities，暂无可用

查看内核版本及网络状态

查看joomla模板中的配置文件configuration.php，发现连接数据库的用户名jenny和密码Mypa$$wordi$notharD@123

查看家目录的用户，发现两个用户，jenny和shenron

提权

提权至jenny

使用获取的密码测试，是否一码多用，发现可以

之前使用find寻找过具有SUID权限文件，发现sudo，这里有密码，直接测试，发现有shenron用户的一个文件

直接复制/home目录下的shenron文件到这里，测试发现不行

提权至shenron

那就反过来，生成一个公私钥，然后复制到shenron的目录下，为什么呢，因为这里先使用ssh登录测试，发现这里直接使用证书认证，说明存在.ssh文件，可能就是在shenron目录下

首先使用ssh-keygen -t rsa生成公私钥

然后在kali开启简易的http服务，这里是测试过靶机可以通过命令下载文件的，尽量在/tmp目录下进行操作

sudo -u shenron /usr/bin/cp id_rsa.pub /home/shenron/.ssh/authorized_keys

在kali中指定私钥文件进行连接

提权至root

使用find再寻找关键字pass*等

查看后发现密码为YoUkNowMyPaSsWoRdIsToStRoNgDeAr，测试sudo -l，发现apt命令

使用命令提权，这里可以查看网站gtfobins.github.io

使用命令，提权成功

清理痕迹

各种日志的清除

删除之前的公钥，以及历史记录

这里还有个网站中的反弹shell文件要删除，这里就不附图片了

总结

1. 主要考察CMSjoomla的渗透方法，最常见的就是模板的注入
2. 考察ssh公私钥连接的过程，以及相关文件
3. 考察对于joomla的一个配置文件configuration.php
4. 考察在靶机内的信息收集，可能有存储密码