做这个靶机的师傅们我先提一句,不知道是否是因为网速还是其他因素影响,登录后台管理后,有大概率会被其他人挤下去,所以做这道题的师傅可以考虑在没人的时候去做。
打开靶场以后老规矩nmap扫一遍
这里爆出了80端口和22端口,域名也出来了
先把域名加进hosts里(这里我用的是windows做题,扫描工具装在wsl基于Linux的windows虚拟机上的)
端口有了服务有了现在就是扫域名以及目录,扫域名我一般喜欢用oneforall,这里扫出来以dev开头的子域名dev.devvortex.htb
现在又两个子域名都拿去扫一下目录,再用ehole对比一下指纹
ehole没有扫出来什么有用信息现在看dirsearch有没有扫出什么东西
扫描子域名的文件目录时明显能看到出现了administrator,并且出现了页面跳转应该是登录口
这里能明显看到使用的是joomla框架,但是不清楚版本信息
继续看扫出来的目录
先去看看robots.txt有没有什么东西
这里出现了很多目录,但是我都去访问了没什么有用的信息
这里访问扫到的readmy.txt文件时发现了, 它使用的是joomla4往上的版本
很明显,4.0.0到4.2.7存在cve-2023-23752未授权访问漏洞
构造路由 /api/index.php/v1/config/application?public=true
返回了数据库的相关信息
会返回数据库信息,出现了数据库信息直接登录
到这里就要注意了,登录不上去可能不是你的问题,而是有其他玩家正在登录或者使用
在此页面插入反弹shell语句然后去访问页面达到反弹shell的目的
因为在最开始我们已经获得了数据库里的账户和密码尝试登录mysql数据库
到这一步就能看到logan的账户密码,需要使用工具暴力破解
我用的是kali的john,需要跑有点久
密码
tequieromucho
直接去登陆,这个靶场真的太烦了,只要有人和你一起用,他要是也登的话就会把你挤掉,还是晚上打比较好
这里sudo-l发现apport-cli有root权限
查看一下版本信息去github上搜一搜看是否存在版本漏洞
这里存在cve-2023-1326提权漏洞
poc:
sudo apport-cli -c /bin/id less
每次执行命令的时候前面加一个!