1、常规扫描一下,目标主机开放的端口
2、访问80端口,首页如下
3、御剑扫描一下网站目录
4、nikto扫描web站点,探测到后台
5、Xray爬虫模式扫描漏洞,没有发现什么可利用漏洞
6、github找到Joomla框架的扫描工具 https://github.com/OWASP/joomscan
7、访问备份文件,得到内容如下以及相关路径
8、因为对外开放了3306端口,使用数据库远程管理工具
9、因为这个加盐是框架代码层面加的,这里找到cms的官方说明文档
https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn
10、替换掉不知道密码的密文,注意后台网站记得关闭掉再改
11、后台登录administrator/admin ,进入后台如下
12、在Extensions -> Templates -> Templates 存在getshell
13、Templates点进去后界面如下
14、New File 创建文件
15、Getshell
16、写入webshell 访问 /templates/beez3/haha.php
17、查看是否成功写入,可以
18、蚁剑连接webshell,ok
19、进入终端发现没有办法执行命令 显示 ret=127 应该是服务端禁用了部分命令执行的函数
20、利用蚁剑扩展插件绕过disable_functions禁用
21、选择模式LD_PRELOAD
22、配置
23、上传 .antproxy.php
24、改一下目标url 后连接,密码不用改,还是原webshell的密码
25、打开终端,查看是否可以执行命令,ok
未完,明天继续,加个vx一起学习~~
