Vulnhub_DC3 记录

目录

Vulnhub_DC3 记录

Vulnhub_DC3 记录

经验 & 总结

  1. 漏洞平时还要多积累,临时搜索的时候也要多方面搜集信息,msf中虽然有针对Joomla3.7的一个RCE工具,但是有一些限制;这次这个就是单纯的用sqlmap获得后台密码。

  2. 这种框架还是要多研究多积累,通过模板写脚本代码的操作自己没有见过,或者说根本就不知道Joomla有这种功能。

  3. 这个靶机会因为自动更新导致web服务挂掉,在网上搜索的时候也发现有其他人部署的服务器出现过这样的问题,作为排错的积累记录一下。

  4. 内核提权漏洞风险还是有些大,测试的时候第一个漏洞只接把靶机搞崩了,以后还是把内核漏洞提权作为最后的手段吧。

  5. sqlmap可以使用-C参数来指定dump操作获取的字段。

  6. 除了hashcat之外,john也很好用,能自动识别hash类型。

  7. hashid在识别hash字符串的时候用单引号,双引号会出现转义的情况。

    Vulnhub_DC3 记录

    Vulnhub_DC3 记录

    或者直接通过管道符传送

    Vulnhub_DC3 记录

步骤流水

通过netdiscover工具探测靶机地址为:192.168.1.104

使用nmap进行端口扫描,近得到开放80端口

Vulnhub_DC3 记录

访问web页面

Vulnhub_DC3 记录

使用whatweb扫描网站,提示网站框架为Joomla

Vulnhub_DC3 记录

使用dirb工具利用默认的字典扫描网站,得到路径信息

Vulnhub_DC3 记录

使用Joomla扫描工具JoomScan进行扫描,探测到joomla版本为3.7.0

Vulnhub_DC3 记录

对于3.7版本,使用searchsploit工具检索

Vulnhub_DC3 记录

msf中查找到的攻击模块,msf中有几个rce模块,所以先选择试是看msf的模块

Vulnhub_DC3 记录

msf模块挨个试过去,不是版本不符合,就是无法利用,令人在意的是unix/webapp/joomla_comfields_sqli_rce,这个模块是针对CVE-2017-8917的利用,该漏洞是joomla3.7的一个SQL注入漏洞,影响版本仅有 3.7.0

通过搜索,利用POC可以验证漏洞存在(这里开始IP换了,因为靶机自动更新,访问不了,只好重新导入一个

http://192.168.1.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)

Vulnhub_DC3 记录

尝试利用sqlmap进行攻击

Vulnhub_DC3 记录

获取数据库名

Vulnhub_DC3 记录

获得joomladb表名

Vulnhub_DC3 记录

使用-D joomladb -T "#__users" -C id,username,password --dump参数dump users表中的id、username、password字段

Vulnhub_DC3 记录

虽然可以读取数据库信息,但是无法通过sqlmap写shell

利用john碰撞密码

Vulnhub_DC3 记录

使用得到的密码,登录后台管理页面

利用模板管理功能添加一个php页面,部署回连脚本

Vulnhub_DC3 记录

访问http://192.168.1.101/templates/beez3/html/shell.php,得到回连shell

Vulnhub_DC3 记录

查看开放端口,确实没有ssh

Vulnhub_DC3 记录

又一次崩溃,查看虚拟机窗口,怀疑是自动更新的问题,再次导入虚拟机,修改为host-only模式

Vulnhub_DC3 记录

先考虑内核提权漏洞,查看是否可以使用gcc

Vulnhub_DC3 记录

查看内核版本

Vulnhub_DC3 记录

在searchsploit中搜索,得到一些结果,挑几个看起来符合条件的提权脚本测试一下

Vulnhub_DC3 记录

第一个失败了

Vulnhub_DC3 记录

而且直接把靶机干死了

Vulnhub_DC3 记录

使用Linux Kernel 4.4.x (Ubuntu 16.04) - 'double-fdput()' bpf(BPF_PROG_LOAD) Privilege Escalation成了

Vulnhub_DC3 记录

Vulnhub_DC3 记录

上一篇:Vulnhub实战靶场:DC-2


下一篇:vulnhub--nasef