前言

本環境為黑盒測試，在不提供虛擬機帳號密碼的情況下進行黑盒測試拿到域控里面的flag。

環境搭建

內網網段：192.168.93.0/24

外網網段：192.168.1.0/24

攻擊機：

kali：192.168.1.10

靶場：

CentOS(內)：192.168.93.100

CentOS(外)：192.168.1.110

Ubuntu：192.168.93.120

域內主機：

Winserver2012：192.168.93.10

Winserver2008：192.168.93.20

Windows7：192.168.93.30

其中CentOS可以外網、內網通信，域內主機只能內網之間進行通信

kali跟CentOS能夠ping通

![

](image-20210703212359897.png)

拓撲圖如下：

內網信息搜集

nmap探測端口

nmap先探測一下出網機即CentOS的端口情況?？梢钥吹介_了22、80、3306端口，初步判斷開了web，ssh，數據庫應該為MySQL

nmap -T4 -sC -sV 192.168.1.110

這里首先訪問下80端口，發現為joomla框架，joomla框架在3.4.6及以下版本是有一個遠程rce漏洞的，這里先使用exp直接去打一下

這里看到exp打過去不能夠利用那么應該是joomla的版本比較高

這里使用端口掃描軟件掃一下后臺的文件發現一個管理員的界面

是joomla的后臺登錄界面，這里嘗試使用bp弱口令爆破了一下，無果，只好放棄

這里使用dirsearch進一步進行掃描，發現了一個configuration.php

看一下這個php的內容發現有一個user跟password，聯想到開了3306這個端口，猜測這可能是管理員備份的數據庫密碼忘記刪除了

連接mysql

這里使用navicat嘗試連接一下靶機的數據庫

可以看到連接成功了

然后就是翻數據找管理員的帳號了，找管理員帳號肯定是找帶有user字段跟password字段的，這里我找了一段時間，最后發現umnbt_users這個表跟管理員帳號最相似，但是這里出現了一個問題，我發現password這個地方的密碼不是明文

這里試著把密文拿去解密發現解密失敗

在搜索的時候發現joomla官網雖然沒有直接公布密碼的加密方式，但是它為了防止用戶忘記密碼增加了一個添加超級管理員用戶的方式，就是通過登錄數據庫執行sql語句達到新建超級管理員的效果

這里我們可以發現sql語句中的VALUES中的第三項為密文，這里我們為了方便就是用他給我們的這一串密文，這里對應的密碼為secret，當然也可以用其他對應的密文如下所示

在navicat中執行sql語句，注意這里要分開執行兩個INSERT INTO否則回報錯，這里相當于我們添加了一個admin2 secret這個新的超級管理員用戶

登錄joomla后臺

使用admin2 secret登錄joomla后臺

登錄成功，進入后臺后的操作一般都是找可以上傳文件的地方上傳圖片馬或者找一個能夠寫入sql語句的地方

這里經過谷歌后發現，joomla的后臺有一個模板的編輯處可以寫入文件，這里找到Extensions->Template->Templates

這里選擇Beez3這個模板進入編輯

這里因為模板前面有<?php前綴，所以這里我們需要將一句話木馬稍微變形一下，然后保存即可

這里使用蟻劍連接成功

（后續見下篇）

頁面網址: http://www.geekpeople.top/Solution/2021-07-27/474.html