论坛 › HG021B › Vulnhub 靶机篇：VulnCMS: 1

Happiness 发表于 2024-7-14 11:46:52

Vulnhub 靶机篇：VulnCMS: 1

本帖最后由 Happiness 于 2024-7-14 11:46 编辑

## 0x01 靶机信息

> - **名称**：VulnCMS: 1
> - **发布日期**：2021 年 6 月 13 日
> - **作者**：tombstoneGhost (Simardeep Singh)
> - **系列**：VulnCMS
> - **难度**：简易
> - **简介**：顾名思义，这个盒子是关于CMS的。您需要枚举该框，找到 CMS 并利用该框，以便访问其他框并最终获取用户和根标志。提示：按给定的顺序:P
> - **下载链接**：https://download.vulnhub.com/vulncms/VulnCMS.ova
> - **网络**：DHCP自动分配

## 0x02 Write-Up
### 2.1 信息收集

#### 2.1.1 主机扫描

目标机IP：192.168.181.166

使用nmap工具扫描

``` txt
nmap -sS -Pn -p- -A -T4 192.168.181.166
-sS 隐蔽扫描，-Pn 禁Ping，-p- 所有端口，-A 综合扫描，-T4 快速扫描
```

扫描出目标机开放了22，80，5000，8081，9001，很多的http端口

!(https://img-oss.hg021b.org/2024/7/4468d253cedc4f26a901be69d5e656a9.png)

#### 2.1.2 访问http服务

根据作者提示，我们一个个访问网站并查看CMS

默认主页推测是Joomla

!(https://img-oss.hg021b.org/2024/7/771facf1ff0f53f0b2d6239625ef1c98.png)

5000端口推测Joomla+WordPress5.7.2

!(https://img-oss.hg021b.org/2024/7/d98a3d5cf310f28446dc502b38634bc4.png)

8081端口也是Joomla+WordPress5.7.2

!(https://img-oss.hg021b.org/2024/7/e1ff846ac48dabf82bb66e53aabffa4b.png)

9001端口推测是Joomla+WordPress5.7.2+Drupal7

!(https://img-oss.hg021b.org/2024/7/a922640ccb976826fefc0246c4104719.png)

提示中按给定的顺序:P，可以锁定第四个，P也在第四个

#### 2.1.3 搜索msf中可利用的漏洞

选择影响范围广泛的drupal_drupalgeddon2

!(https://img-oss.hg021b.org/2024/7/518c2d78425d1a5e448142e1c83243a8.png)

``` txt
漏洞描述(https://research.checkpoint.com/2018/uncovering-drupalgeddon-2/)
Drupal 在 Form API （FAPI） AJAX 请求上没有足够的输入过滤功能。因此，这使攻击者能够潜在地将恶意有效负载注入内部表单结构中。这将导致Drupal在没有用户身份验证的情况下执行它。通过利用此漏洞，攻击者将能够对任何Drupal客户进行完整的站点接管。
该漏洞存在于从 6 到 8 的所有 Drupal 版本中，但此后已修补给手动更新其站点的人。
```


### 2.2 渗透路线

#### 2.2.1 drupal_drupalgeddon2漏洞利用

``` txt
use 1选择数字1的模块
show options 查看模块具体配置内容
set Name 配置参数
注意rhosts和rport为目标机的IP和端口，需要配置，L开头的是本地配置
```

!(https://img-oss.hg021b.org/2024/7/6ce96ded4207c76fc84e4bb513983bf6.png)

exploit执行，利用成功

!(https://img-oss.hg021b.org/2024/7/d6af645e7b4cd0ce6ca3b14209a5f9c0.png)

#### 2.2.2 升级shell环境

``` txt
shell 进入shell环境
SHELL=/bin/bash script -q /dev/null 升级shell环境
```

!(https://img-oss.hg021b.org/2024/7/cc92cec49f1503148a6075226815e8d6.png)

#### 2.2.3 提权用户tyrell

浏览drupal目录的时候发现了tyrell.pass文件

!(https://img-oss.hg021b.org/2024/7/75043be183b049c675b9e6aa288d8c24.png)

``` txt
tyrell.pass
Username: tyrell
Password: mR_R0bo7_i5_R3@!_
```

经确认存在tyrell用户

!(https://img-oss.hg021b.org/2024/7/9595efeb27d125655d8ece9f03c24f68.png)

提权tyrell用户

!(https://img-oss.hg021b.org/2024/7/056d0fbdc63b310183323528a0f0c9d0.png)

在家目录获取到sudo_as_admin_successful的提示，发现sudo权限可以执行journalctl命令

!(https://img-oss.hg021b.org/2024/7/99390e57b2ad70f4c5d5056f06e786c5.png)

#### 2.2.4 利用sudo提权

```bash
sudo journalctl
!/bin/sh
```

提权成功

!(https://img-oss.hg021b.org/2024/7/e4826d3d513737faf15c1a859218c346.png)

查看完整版本: Vulnhub 靶机篇：VulnCMS: 1