导入靶机,之后我们这里记得进行一个操作。

ifdown eth0 和 ifup eth0

image.png

我们再进行之前的同一区域的扫描。

image.png

从而确定靶机ip为192.168.56.103,然后nmap扫端口。

image.png

发现只有一个80端口,我们去访问。

image.png

也是一个登录界面,我们先尝试弱密码。

发现无果后,扫一下目录。

image.png
image.png
image.png

各个都进去看了看,好像没什么有用的,还是要登录。

我们在kali里面下一个joomscan,然后扫一波

image.png

发现版本3.7.0,我们去找漏洞发现有cve,sql注入。

Joomla3.7.0 (CVE-2017-8917) SQL注入漏洞复现-CSDN博客
成功复现,这里尽量还是跟着文章用sqlmap梭,手测很难复现,查了很久没查全。

image.png

根据他给的语句查账号密码,这里注意文章的库不一样,我们记得改成joomladb

然后改为#__users
image.png

爆出账号密码,这个密码是个hash加密,我们丢到kali里面用john进行爆破。

image.png

密码为snoopy,我们登录进去。

image.png

我们去搜joomla3.7.0 getshell的办法。

发现有可以文件上传的getshell。

Joomla漏洞利用_oomla后台拿shell蚁剑链接-CSDN博客

最后目录有点不同。所以我们要改一下。

image.png

我测试之后是在这个目录的。

image.png

然后再去访问htb1.php。

image.png

成功渲染,可以连接蚁剑。

然后我们在蚁剑开启终端,反弹shell,这里提权什么的不要在蚁剑中进行,蚁剑每个命令都是不同的进程。

image.png
image.png

连上后,我们可以查看一下root权限的命令有哪些。

find / -user root -perm -4000 -print 2>/dev/null

image.png

看到这个之后,我们考虑用pwnkit提权,这里也可以用linpeas.sh的脚本梭一波。

在github上找exp,下载到自己kali上面。然后开启python http服务,用靶机下载脚本。

这里注意我们的操作是在/tmp目录下进行的,这是一个临时缓存的目录,会自动清理的,我们手动rm清理也可

以。

image.png
image.png

我这里用c脚本,所以要用gcc去编译它,检查是否有gcc的话可以用which命令,如果不行用python的脚本也可

以。

image.png

执行脚本之后拿到root权限,然后提升一下交互性。

最后去找flag。

image.png