-
主机发现
-
端口发现(服务、组件、版本)
-
漏洞发现(获取权限)
-
22端口/SSH服务
-
组件漏洞
-
口令漏洞
-
80端口/HTTP服务
-
组件漏洞
-
URL漏洞(目录、文件)
一、主机发现
启动虚拟机,直接就获得了主机的IP地址。
二、端口发现(服务、组件、版本)
使用命令sudo -u root nmap 10.58.81.115 -n -Pn -p- --reason -sV -sC -O
获得主机开放的端口、提供的服务、使用的组件、组件的版本。
开放的端口 |
提供的服务 |
使用的组件 |
组件的版本 |
22/tcp |
ssh |
OpenSSH |
7.9p1 Debian 10+deb10u2 |
80/tcp |
http |
Apache |
httpd 2.4.38 |
- |
os |
Debian Linux |
4.15 - 5.6 |
三、漏洞发现(获取权限)
22端口/SSH服务
组件漏洞
使用命令searchsploit OpenSSH 7.
,未发现OpenSSH 7.9p1 Debian 10+deb10u2组件的Nday漏洞。
口令漏洞
使用命令hydra -C /usr/share/seclists/Passwords/Default-Credentials/ssh-betterdefaultpasslist.txt 10.58.81.115 ssh
,未发现弱口令漏洞。
80端口/HTTP服务
组件漏洞
01、使用命令searchsploit Apache 2.4
和searchsploit Apache 2.4.38
,未发现组件Apache httpd 2.4.48的Nday漏洞。
02、使用Wappalyzer、WahtRuns、BuiltWith、WhatWeb、FindSomething自动识别网站组件,无收获。
03、使用BurpSuite手动识别网站组件,无收获。
URL漏洞(目录、文件)
01、手动浏览
访问首页http://10.58.81.115/
,发现啥也没有,是静态页面,妥妥的CTF风格。
02、目录扫描
02-01、使用命令dirb http://10.58.81.115 -R
对网站目录和文件进行遍历,发现/joomla/
目录、/joomla/robots.txt
文件、/joomla/index.php
文件、/joomla/administrator/index.php
文件等有价值的目录和文件,看来使用了Joomla CMS。
02-02、想先确认Joomla的版本,然后找Nday漏洞。但网站翻了半天,Burp Suite也看了半天,愣是找不到Joomla的版本。
官网有介绍 如何查看Joomla版本[2],但仍然找不到。事后发现这里的Joomla是高版本,官网的介绍是登录后台查看。
当时没招了,没办法就祭出大杀器msfconsole,发现版本是3.7.3-rc1
。就很离谱,官网明明介绍这个版本需要登录后台查看。
于是Wireshark抓msfconsole的包,发现是/joomla/administrator/manifests/files/joomla.xml
文件提到了Joomla的版本。那到底是Joomla官网不愿意说,还是他们确实也不知道,这就不得而知了。
既然知道了版本,就可以找Nday漏洞了。使用命令searchsploit Joomla 3.7
发现只有3个不知能否利用的SQLi漏洞,根据介绍尝试利用后,发现都不能利用,真是白忙活了大半天。
02-03、/joomla/robots.txt
文件中的目录,dirb基本都能发现,感觉是Joomla CMS的通用目录,去Github找Joomla的代码验证下,发现robots.txt中多了/bin/
和/logs/
目录, 但内容是空的或不存在。
02-04、/joomla/index.php
文件和/joomla/administrator/index.php
文件倒是有比较多可以尝试的漏洞,主要是SQLi和口令爆破,主要目的都是拿到web权限后再想办法拿webshell权限。
但是SQLi就不再尝试了,因为Joomla CMS是开源组件,找得到的SQLi Nday漏洞都尝试过了,所以试下口令爆破。一共找到3个登录接口,挑一个简单的来爆破。
重点爆破猜到的几个用户名:admin、joomla、joker,但是完全没收获。
就连SSH也用这几个用户名再爆破了一次,也是完全没有收获。
事已至此,已经没招了,只能爆破更多的用户名和密码了。除了用更大的字典,还能通过对网站页面进行信息收集的方式,来获取针对性自定义的密码字典。
但是爆破SSH依然没有收获。
不过Joomla后台终于爆破出账号joomla、密码Gotham。
02-05-01、拿到web权限之后就是拿webshell权限了,CMS系统首选文件上传漏洞。后台首页一眼望去,Media的图片上传和Templates的模板上传可以试试。
Media的图片上传,正常图片加上webshell代码都上传失败。
随便点到选项Options发现有上传相关配置可以修改,能改的都给改了,仍然上传失败。但是正常文件又能上传成功,真是百思不得其解。
02-05-02、于是尝试Templates的模板上传,有Beez3和Protostar两个模板,随便选择一个。
Document链接点进去是How to use the Template Manager[3],有模板管理器的用法,还可以看到模板文件(webshell文件)的访问路径/templates/protostar/
。
创建webshell文件,访问获得webshell权限。
在HackTricks[4]网站找到Linux中PHP的反弹shell代码,通过webshell执行后获得稳定的webshell权限,甚至他还直接给提权到root账号了?
03、模糊测试
基于目前已知信息,没有对网站的目录和文件进行FUZZ的必要。
04、信息收集
前面在Firefox翻找网站的流量全都走Burp Suite代理,在Burp Suite中未发现敏感信息泄露。
参考资料
GlasgowSmile-v1.1: https://www.vulnhub.com/entry/glasgow-smile-11,491/
[2]如何查看Joomla版本: https://docs.joomla.org/How_to_check_the_Joomla_version%3F
[3]How to use the Template Manager: https://docs.joomla.org/Special:MyLanguage/J3.x:How_to_use_the_Template_Manager
[4]HackTricks: https://book.hacktricks.xyz/
原文始发于微信公众号(OneMoreThink):靶机实战(3):GlasgowSmile-v1.1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论