Vulnhub-vulncms

扫描端口:

wKg0C2DuUHOAZhOJAADOidOGqUU503.png

依次访问,存在joomla、wordpress、drupal 三个cms

wKg0C2DuUIaAAjgJAAC20fRUPms545.png

Joomla 存在sql 注入可直接出密码,不过为加密后密文,不
是首选,

wKg0C2DuUKKAZiw1AABwO18wXMc938.png

其次wordpress位于
http://172.16.3.10/admin/wordpress_admin
存在命令执行界面,仅能执行少量命令,并且无写入权限,只能查看到wp配置文件以及遍历目录

wKg0C2DuUMSAXKVQAACxZw9IY1U667.png

Drupal 存在geddon2漏洞,可接管服务器
使用python的pty库创建终端,寻找用户:

wKg0C2DuUNqAQZilAAAjUB0slA505.png

依次查看三种cms的配置文件

wKg0C2DuUOuAGY4tAAC3KjyhwIo569.png

wKg0C2DuUPWAKYcfAACuNW7TuAc559.png

wKg0C2DuUQ2AGyrVAAB48gA5NS4074.png

进入mysql查看有用信息

wKg0C2DuURqAJ2RjAACTFztBxeI875.png

wKg0C2DuUSSAIMEAABkEIIJ6s266.png

wKg0C2DuUSuAGKkRAADcgRsDF1A794.png

将邮箱等收集到的信息加入密码字典,
将/home 下用户加入用户字典,由于开启ssh,尝试ssh 远
程登录,使用hydra 爆破ssh

wKg0C2DuUTiAW0jTAAE3pBD13WE140.png

运气比较好爆破出ssh 登录,尝试连接ssh,

wKg0C2DuUUWARDExAADjc2G1788155.png

查看用户目录下文件:

wKg0C2DuUVOAUZvJAACSjqCU2GE533.png

不知道是不是flag,继续深入

wKg0C2DuWEiAbs9XAACgCDbOk34958.png

当前有写入权限,但是没办法跳出用户目录

wKg0C2DuWFAZdswAACO2luJOTE889.png

尝试上传了elf 文件无法执行,存在命令执行限制,

wKg0C2DuWHKAB0bYAAC4Zy79QU0906.png

使用python pty 模块新建终端即可绕过
使用msfvenom 制作了linux 远控并成功上线,不过上传提
权exp 后提权失败,发现这样做只是画蛇添足,
发现当前用户无法执行sudo
再重新返回系统尝试寻找有用信息,经过爆肝:
在/var/www/html/drupal/misc 下:

wKg0C2DuWICAU5ZQAAEgiOd7BTI677.png

尝试ssh登录tyrell账户

wKg0C2DuWIABwY1AADD1DB95Pw224.png

登陆后sudo -l发现/bin/journalctl免密运行,

wKg0C2DuWJyAWrBbAAHNmm8mcF8164.png

wKg0C2DuWKWACYOTAAGZGcXoADQ340.png

使用sudo执行,在程序内运行bash,得到root下的bash,

wKg0C2DuWLGAeJVWAAFwKoErIPQ775.png

在root目录下获取root.txt内容,
到此两个flag全部获得

posted @ 2021-11-16 23:21  SecIN社区  阅读(12)  评论(0编辑  收藏  举报