1.Nmap端口扫描,Curling仅开放80、22端口。
nmap
2.Web服务信息搜集,这是一个由Joomla构建的cms,管理页面在默认的administrator路径下,需要用户名和密码。首先对网站路径进行Fuzz,可以找个一个隐藏的文本文件secret.txt,内容是一个哈希值“Q3VybGluZzIwMTgh”,通过www.cmd5.com可以在线破译明文:Curling2018!,这很可能是Joomla的登录密码。
gobuster -u http://10.10.10.150 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt,htm
/secret.txt
3.Joomla登录尝试,利用常规的admin等账号登录均失败。返回web页面重新寻找线索,可以发现,一篇日志的署名为floris。利用该账户可以成功登录Joomla后台。
用户名获取
4.Joomla后台上传shell,步骤如下图文分解:
进入Templates页面
点击右上角Options
启用预览功能并允许上传php后缀的图片格式
在Permissions页面赋予全部权限并保存
返回Templates页面,并编译一套模板的文件
编辑index页面,贴入webshell,执行预览就可以获得一个反弹
5.在反弹的shell中可以看到user.txt但权限不够不能cat。要想办法切换到floris账户。在该路径下还存在password_backup文件,将该文件取回。
权限不够
6.根据文件格式看,这是一个十六进制格式的文件输出,可以用xxd -r还原为原始文件,之后是一连串的解压操作,bzip2 到 gunzip 再到 bzip2 最后是 tar,完整解压后能获得password.txt,包含密码:5d<wdCbdZu)|hChXll
连续解压
7.利用刚获得的密码ssh登录目标,拿下user.txt。随后上传pspy,可以发现一个计划任务每分钟运行一次,利用curl读取/home/floris/admin-area/input中的指令执行,并将结果写入/home/floris/admin-area/report 。
pspy
因此,我们可以利用这个脚本读取root flag。编辑/home/floris/admin-area/input:
echo "file:///root/root.txt" > /home/floris/admin-area/input
大约等待一分钟可以获取flag。
root
