Vulnhub_DC3 记录

Vulnhub_DC3 记录

目录
  • Vulnhub_DC3 记录
    • 经验 & 总结
    • 步骤流水

Vulnhub_DC3 记录_第1张图片

经验 & 总结

  1. 漏洞平时还要多积累,临时搜索的时候也要多方面搜集信息,msf中虽然有针对Joomla3.7的一个RCE工具,但是有一些限制;这次这个就是单纯的用sqlmap获得后台密码。

  2. 这种框架还是要多研究多积累,通过模板写脚本代码的操作自己没有见过,或者说根本就不知道Joomla有这种功能。

  3. 这个靶机会因为自动更新导致web服务挂掉,在网上搜索的时候也发现有其他人部署的服务器出现过这样的问题,作为排错的积累记录一下。

  4. 内核提权漏洞风险还是有些大,测试的时候第一个漏洞只接把靶机搞崩了,以后还是把内核漏洞提权作为最后的手段吧。

  5. sqlmap可以使用-C参数来指定dump操作获取的字段。

  6. 除了hashcat之外,john也很好用,能自动识别hash类型。

  7. hashid在识别hash字符串的时候用单引号,双引号中会把$认定为表示参数的符号。

    image-20200314113939284

    image-20200314113917846

    或者直接通过管道符传送

    Vulnhub_DC3 记录_第2张图片

步骤流水

通过netdiscover工具探测靶机地址为:192.168.1.104

使用nmap进行端口扫描,近得到开放80端口

Vulnhub_DC3 记录_第3张图片

访问web页面

Vulnhub_DC3 记录_第4张图片

使用whatweb扫描网站,提示网站框架为Joomla

image-20200314001428709

使用dirb工具利用默认的字典扫描网站,得到路径信息

Vulnhub_DC3 记录_第5张图片

使用Joomla扫描工具JoomScan进行扫描,探测到joomla版本为3.7.0

Vulnhub_DC3 记录_第6张图片

对于3.7版本,使用searchsploit工具检索

Vulnhub_DC3 记录_第7张图片

msf中查找到的攻击模块,msf中有几个rce模块,所以先选择试是看msf的模块

Vulnhub_DC3 记录_第8张图片

msf模块挨个试过去,不是版本不符合,就是无法利用,令人在意的是unix/webapp/joomla_comfields_sqli_rce,这个模块是针对CVE-2017-8917的利用,该漏洞是joomla3.7的一个SQL注入漏洞,影响版本仅有 3.7.0

通过搜索,利用POC可以验证漏洞存在(这里开始IP换了,因为靶机自动更新,访问不了,只好重新导入一个

http://192.168.1.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)

Vulnhub_DC3 记录_第9张图片

尝试利用sqlmap进行攻击

Vulnhub_DC3 记录_第10张图片

获取数据库名

Vulnhub_DC3 记录_第11张图片

获得joomladb表名

Vulnhub_DC3 记录_第12张图片

使用-D joomladb -T "#__users" -C id,username,password --dump参数dump users表中的id、username、password字段

Vulnhub_DC3 记录_第13张图片

虽然可以读取数据库信息,但是无法通过sqlmap写shell

利用john碰撞密码

Vulnhub_DC3 记录_第14张图片

使用得到的密码,登录后台管理页面

利用模板管理功能添加一个php页面,部署回连脚本

Vulnhub_DC3 记录_第15张图片

访问http://192.168.1.101/templates/beez3/html/shell.php,得到回连shell

Vulnhub_DC3 记录_第16张图片

查看开放端口,确实没有ssh

Vulnhub_DC3 记录_第17张图片

又一次崩溃,查看虚拟机窗口,怀疑是自动更新的问题,再次导入虚拟机,修改为host-only模式

Vulnhub_DC3 记录_第18张图片

先考虑内核提权漏洞,查看是否可以使用gcc

image-20200314092203050

查看内核版本

image-20200314092218601

在searchsploit中搜索,得到一些结果,挑几个看起来符合条件的提权脚本测试一下

Vulnhub_DC3 记录_第19张图片

第一个失败了

Vulnhub_DC3 记录_第20张图片

而且直接把靶机干死了

Vulnhub_DC3 记录_第21张图片

使用Linux Kernel 4.4.x (Ubuntu 16.04) - 'double-fdput()' bpf(BPF_PROG_LOAD) Privilege Escalation成了

Vulnhub_DC3 记录_第22张图片

Vulnhub_DC3 记录_第23张图片

你可能感兴趣的:(Vulnhub_DC3 记录)