靶机
靶机下载后,网络配置为NAT模式后打开。
首先查看当前攻击机的网络,因为DC3选择的是NAT网络模式,因此攻击机也是NAT模式,查看攻击机的ip地址后,获取到DC3主机的所属网段地址。
通过网段扫描发现192.168.220.134主机,当前开启的主机只有kali主机和DC3主机,192.168.220.1以及192.168.220.2是DNS地址,因此DC3主机的IP地址就是192.168.220.134.
使用nmap扫描探测DC3主机的开放端口信息。因此指定扫描DC3主机的所有端口(0-65535),结果发现只有80端口HTTP服务在运行。
获取DC3系统信息
使用nmap漏洞扫描选项,扫描处DC3主机开启的HTTP运行的是Joomla3.7CMS,且有SQL注入漏洞。
使用7k扫描,扫描结果如下,扫描结果并不理想。。还不如nmap的扫描。。。
网站
打开主页,页面展示如下。
百度搜索下Joomla3.7版本的漏洞。
http://127.0.0.1:8080/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
Payload=option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
SQL注入
经过测试,发现注入点。
下面有两种方法可以利用漏洞,
一、
Github上搜索下,有没有漏洞利用的自动化工具。
尝试下,使用编写好的漏洞漏洞利用脚本。
发现Joomla后台的登录的用户密码。
二、
使用sqlamap注入点获取后台数据。
Sqlmap注入也可以获取后台登录的账号密码。
下一步登录Joomla后台。后台地址,通过刚才目录扫描已经爆破出来。
用户名:admin
密码:$2y
10
10
10DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
密码明显是加密过后的,尬住了。。。。看起来不像是常见的BASE64编码,也不是常见的MD5加密,更不像hex编码。。。。。裂开。百度了下,想起来大名鼎鼎的John工具。
Joomla后台密码破解
把密码放入一个文本中,开搞。
使用John将加密后的密码爆破出来了。
用户名:admin
密码:snoopy
上传shell
登陆成功,找下shell上传点。
通常情况下,文件上传点一般在模板上传的地方。
打开Templates下的Protostar模板,看到index.php文件。直接修改index.php中的文件内容。
尝试下,运行phpinfo().
打开网站主页发现,Templates下的Protostar模板中的index.php文件就是网站主页面。再次修改index.php文件内容,添加后门。
再次打开主页,发现空白,后门已经写入。
DC系统后门上传
我比较喜欢使用蚁剑,直接蚁剑链接。
因为DC3主机是linux系列的主机,先上传msf系统后门,使用msf操作。
发现,DC3主机是X86结构的主机,因此,生成的系统后门代码需要指定payload是X86结构的。
使用payload=linux/x86/meterpreter/reverse_tcp。
下一步将生成的系统后门上传到DC3主机上。
文件上传后,发现back.elf文件没有执行权限,使用chmod +x授予运行权限。
在kali主机上运行msf开启监听
执行back.elf后门
Msf已经成功连接。
DC系统提权
查看当前使用的权限,发现是www-data权限,下一步需要提权,才可以完全控制DC3
上传linux系统探针,尝试使用内核提权。
发现可以使用脏牛提权。
下载exp文件,由于40847是c++文件,不清楚DC3主机是否存在g++编译器。
执行g++后的结果说明,DC3主机存在g++编译环境。
先将40847.cpp文件上传到DC3主机当中,编译后运行进行提权尝试。
40847.cpp文件编译成功,dcow文件可以运行进行提权了。
脏牛内核提权成功。
DC3主机root账户密码是dirtyCowFun
结束
游戏结束,DC3主机成功拿下。
参考资料
脏牛利用参考链接: https://blog.csdn.net/weixin_43841336/article/details/89314335.
JoomlaSql注入漏洞链接: https://blog.csdn.net/weixin_51387754/article/details/121648248.
Joomla exp下载链接: https://github.com/Siopsec/CVE-2017-8917.
DC3下载链接: https://www.vulnhub.com/entry/dc-32,312/.