thm-Daily Bugle

thm

Word count: 416 | Reading time≈ 1 min

thm-Daily Bugle wp

来到首页

先拿一些信息，爆破一下网站目录

1	gobuster dir --url http://10.10.249.254/ -w /usr/share/wordlists/SecLists/Discovery/Web-Content/common.txt

查看了一下有用的只有/administrator/，那么目前来说没有拿到什么有用的信息，尝试从历史漏洞突破

找了半天没找到这个CMS的版本，最后直接搜索

得到个路径

1	/language/en-GB/en-GB.xml

得到版本3.7.0

得到用户名为jonah

得到密码的hash值，然后爆破得到密码

得到密码为spiderman123

然后登录站点，通过看每一个功能发现这个位置能够修改文件

这里我选择了第一个

随意选择一个文件去修改，我选择的是error.php

修改后，在本地监听6666端口，然后访问 http://10.10.146.205/templates/beez3/error.php

即可拿到shell

发现我们拿到的是服务用户的shell，这导致我们的权限非常低

来到home页面，发现有一个用户jjameson，但是很遗憾，无法进入该文件夹

尝试其他的提权方式无果，来到/var/www/html目录，发现有个configuration.php

泄露了重要信息，发现了数据库的用户和密码nv5uz9r3ZEDzVjNu

尝试切换成root用户发现密码不正确，随后又尝试切换成jjameson，成功

开始进一步提权

查看sudo -l，看看有没有给我们设置命令

发现有一个yum命令，通过该网站去查找提权方式

根据这个执行即可

提权成功

Donate

Copyright： Copyright is owned by the author. For commercial reprints, please contact the author for authorization. For non-commercial reprints, please indicate the source.