DC-3
只有一个flag且没有提示,根据网页漏洞进行寻找吧
文章目录
1.信息收集
- 使用nmap扫描主机存活和开放的端口,
nmap -sn 192.168.78.0/24
获取主机IP为192.168.78.132 开放80端口 - 使用dirb遍历网站路径 发现administrator界面
2. web渗透
登录网站后台方案一:使用框架漏洞
- 访问网页,使用插件查看当前网页的框架结构,发现了一个cms框架
- 针对这个CMS框架去网上寻找相对应的漏洞,查看是否存在可以利用获取web权限的漏洞 发现该框架存在SQL注入漏洞
(64条消息) Joomla 漏洞总结_joomla漏洞_星落.的博客-CSDN博客
- 使用这个payload进行验证,真就存在了报错回显的漏洞,那接下来就开始构造来获取用户名和密码了
- 根据在网上找到的资料,使用sqlmap进行测试,因为正常的报错注入好像版本不行,不能使用,构建payload
python sqlmap.py -u "http://192.168.78.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -dbms mysql --random-agent -D "joomladb" -T "#__users" -C "username,password" -dump -p list[fullordering]
一步步进行注入到获取账号和密码
- 获取了hash加密的密码,那就要对其进行暴力破解了得到明文,kail里的工具john进行对hash密码破解
john快速破解各种hash工具使用指南 - 知乎 (zhihu.com)
、
- 来到该界面使用账号和密码进行登录后台http://192.168.78.132/administrator/
登录网站后台方案二:对后台登录界面爆破登录
- 来到后台登录地址 http://192.168.78.132/administrator/ 输入参数使用burp进行抓包放入到攻击模块对密码进行弱密码攻击 用户名暂且使用admin
- 成功爆破出登录密码为snoopy
3. 网站后台获取shell
- 通过上网搜索joomla网站后台获取shell的方法,找到了想要的答案,该网站后台可以修改模板界面,加入一句话木马即可获取shell后台操作
Extensions
–>Templates
–>Templates
选择一个模板修改index.php文件 添加shell代码,save保存
- 根据给出的方法找到模板,有两个肯定有一个正在使用的
- 将两个模板都进行index.php写木马操作
- 使用蚁剑尝试连接,发现成功
- 尝试将shell反弹到kali上,可以生成php木马或者Linux木马,使用虚拟终端执行文件,监听主机上线获取meterpreter shell。反弹shell发现不能使用nc反弹 使用php代码反弹也不能执行,只好使用msf生成的木马了
4. 漏洞利用获取shell
使用MSF对搜索到该漏洞进行利用search joomla ,找到对应的sql注入漏洞,对目标主机进行攻击,获取meterpreter shell,需要登录进入该网站后台才能获取成功
- 使用MSF对搜索到该漏洞进行利用search joomla
- 输入漏洞攻击参数
- 进行漏洞攻击,成功返回了meterpreter shell
5. 权限提升
- 查看当前用户权限,发现只是一个web权限,那就要准备开始提权了,上传.sh文件,对目标主机进行漏洞探测
- 然后到该目录下去执行该文件,获取漏洞信息 想着使用系统内核漏洞进行提权
- 在漏洞信息中发现了一个似曾相识的漏洞,好像在脏牛漏洞就使用过该漏洞,40847.cpp文件进行EXP漏洞提权
- 接下来的步骤就是和脏牛一样了,算是对上一次的完善了,给靶机上传40847.cpp文件、
- 然后编译该EXP文件,调用python打开bash窗口,然后获取给到的密码
- 使用su root切换用户操作,输入给的密码,即可成功提权获取root权限
- 进入到root文件夹内,寻找flag文件,获取flag
- 发现了flag文件,使用cat进行打开发现作者用心了,成功获取了flag。心情愉悦
- 当前之前的DC靶机因为系统原因或多或少都会有内核漏洞提权的可能,不只是脏牛,使用searchsploit 搜索对应的Linux系统和内核版本都可以进行本地提权
6. 靶机总结
- 对网站进行渗透测试,一定不能忘记目录扫描,查看是否能找到后台登录地址
- 对于后台登录可以先尝试爆破登录
- 使用插件获取了cms框架,可以去找一下历史漏洞,进行利用
- 可以利用网上给出的payload 但也不要忘记msf的强大的漏洞利用功能 可能就会利用该漏洞获取shell
- 当然登录了后台地址 也可以尝试搜索一下cms框架后台获取shell的方法
- 反弹shell如果常用命令和代码不成功 可以使用msf生成的木马进行监听上线
- 获取shell之后如果没有能进行的提权方式,可以查看一下系统内核版本,是否存在内核提权漏洞 可以searchsploit查找对应版本漏洞
- 脏牛提权对于乌邦图16版本还是没啥问题的