本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.153
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.153 -o ./Teacher-autorecon
就开放了一个80端口,访问web应用并通过burpsuite抓包进行爬取页面,发现如下信息
Hi Servicedesk, I forgot the last charachter of my password. The only part I remembered is Th4C00lTheacha. Could you guys figure out what the last charachter is, or just reset it? Thanks, Giovanni
从上面得知用户名:Giovanni 密码是Th4C00lTheacha后面有一个特殊符号,此处我们可以通过burpsuite进行爆破,爆破之前根据要求生成好字典,
crunch 15 15 -t Th4C00lTheacha^ -o bmfxpass.txt
上述爬行同样爬出来了很多目录,经过尝试确认存在目录moodle,并有可利用价值
输入正确的用户名和随便一个密码尝试使用wfuzz进行爆破
wfuzz -c -u http://10.10.10.153/moodle/login/index.php -d 'username=Giovanni&password=FUZZ' -w bmfxpass.txt --hh 440
也可以使用burpsuite
最终得出账号和密码
用户名:giovanni:Th4C00lTheacha#
成功登陆后台之后经过测试发现,存在一远程代码执行,详情参考:https://blog.ripstech.com/2018/moodle-remote-code-execution/
利用方式就是添加如下信息然后执行命令即可反弹shell
/*{a*/`$_GET[0]`;//{x}}
具体步骤如下:
点击Save and diskplay
下面是重点
开始反弹shell
拿到shell之后升级为tty-shell查看数据库配置文件
登录数据库,查看用户名和密码
发现4个用户名和密码,其中含有md5加密的用户Giovanni
得到密码su切换到用户giovanni获取到了user.txt
通过pspy枚举运行的进程
查看备份脚本
这里姿势就很多了,主要是利用其能更改权限为777或者使用软连接的形式读取root.txt,我这就使用软件的形式软连接到root根目录
成功获取root.txt