前言

本環境為黑盒測試，在不提供虛擬機器帳號密碼的情況下進行黑盒測試拿到域控裡面的flag。

環境搭建

內網網段：192.168.93.0/24

外網網段：192.168.1.0/24

攻擊機：

kali：192.168.1.10

靶場：

CentOS(內)：192.168.93.100

CentOS(外)：192.168.1.110

Ubuntu：192.168.93.120

域內主機：

Winserver2012：192.168.93.10

Winserver2008：192.168.93.20

Windows7：192.168.93.30

其中CentOS可以外網、內網通訊，域內主機只能內網之間進行通訊

kali跟CentOS能夠ping通

![

](image-20210703212359897.png)

拓撲圖如下：

內網資訊蒐集

nmap探測埠

nmap先探測一下出網機即CentOS的埠情況。可以看到開了22、80、3306埠，初步判斷開了web，ssh，資料庫應該為MySQL

nmap -T4 -sC -sV 192.168.1.110

這裡首先訪問下80埠，發現為joomla框架，joomla框架在3.4.6及以下版本是有一個遠端rce漏洞的，這裡先使用exp直接去打一下

這裡看到exp打過去不能夠利用那麼應該是joomla的版本比較高

這裡使用埠掃描軟體掃一下後臺的檔案發現一個管理員的介面

是joomla的後臺登入介面，這裡嘗試使用bp弱口令爆破了一下，無果，只好放棄

這裡使用dirsearch進一步進行掃描，發現了一個configuration.php

看一下這個php的內容發現有一個user跟password，聯想到開了3306這個埠，猜測這可能是管理員備份的資料庫密碼忘記刪除了

連線mysql

這裡使用navicat嘗試連線一下靶機的資料庫

可以看到連線成功了

然後就是翻資料找管理員的帳號了，找管理員帳號肯定是找帶有user欄位跟password欄位的，這裡我找了一段時間，最後發現umnbt_users這個表跟管理員帳號最相似，但是這裡出現了一個問題，我發現password這個地方的密碼不是明文

這裡試著把密文拿去解密發現解密失敗

在搜尋的時候發現joomla官網雖然沒有直接公佈密碼的加密方式，但是它為了防止使用者忘記密碼增加了一個新增超級管理員使用者的方式，就是通過登入資料庫執行sql語句達到新建超級管理員的效果

這裡我們可以發現sql語句中的VALUES中的第三項為密文，這裡我們為了方便就是用他給我們的這一串密文，這裡對應的密碼為secret，當然也可以用其他對應的密文如下所示

在navicat中執行sql語句，注意這裡要分開執行兩個INSERT INTO否則回報錯，這裡相當於我們添加了一個admin2 secret這個新的超級管理員使用者

登入joomla後臺

使用admin2 secret登入joomla後臺

登入成功，進入後臺後的操作一般都是找可以上傳檔案的地方上傳圖片馬或者找一個能夠寫入sql語句的地方

這裡經過谷歌後發現，joomla的後臺有一個模板的編輯處可以寫入檔案，這裡找到Extensions->Template->Templates

這裡選擇Beez3這個模板進入編輯

這裡因為模板前面有<?php字首，所以這裡我們需要將一句話木馬稍微變形一下，然後儲存即可

這裡使用蟻劍連線成功

（後續見下篇）