靶机介绍
官方下载地址:www.vulnhub.com/entry/dc-32…
靶机介绍,没有像DC-1和DC-2说是一共有几个flag
运行环境:
靶机:网络连接方式设为桥接,IP地址:192.168.1.73
攻击机:通网段下的kali linux,IP地址:192.168.1.44
开始渗透
运行靶机
获取IP地址
扫描端口,发现只有一个80端口,joomla框架
使用whatweb网络指纹工具扫描,看到框架确实是joomla
使用一个针对joomla的扫描工具 joomscan
扫描出来joomla的版本和一些目录
http://192.168.1.73/administrator/ 是一个登录页面
其他几个都是类似以下的页面,没有获取有用的信息
使用searchsploit看一下joomla 3.7.0有没有漏洞,有一个可以利用的漏洞,
查看42033.txt
使用sqlmap跑一下,存在SQL注入漏洞,可以通过布尔盲注,报错注入和时间盲注进行注入
直接使用sqlmap进行注入
爆出来五个库名
最终的sqlmap注入语句
sqlmap -u "http://192.168.1.73/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns --dump -p list[fullordering]
爆出了用户名和加密过的密码
Username:admin
Password:10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
将密文放到一个文件当中
使用johnny工具进行破解密码,也可以使用john破解
两个工具的区别就是:johnny是图形化界面,john是命令行的直接在终端里面执行即可
破解出来密码是:snoopy,返回浏览器进行登录,登录成功
在这里发现可以编辑或者上传一个文件,
尝试上传php文件,提示不可以上传,直接写一个一句话木马的php,使用中国蚁剑连接,
这边提示了我们目录在哪里访问之后发现不存在
经过一番尝试,发现bezz3是在templates目录下,使用蚁剑连接
上传一个反弹shell的php文件,开启监听,执行shell.php
反弹成功,使用python交互shell
查看系统版本信息
lsb_release -a
cat /etc/*release
看到版本是Ubuntu 16.04
使用searchsploit 查看ubuntu 16.04 有没有可以利用的漏洞
查看39772.txt
39772.txt文件末尾下载exp的连接经过多次尝试已经失效
github.com/lphfyq/ubun…
需要手动下载到物理机上再通过临时HFS下载到靶机,也可以放到apache的根目录下使用wget下载到靶机
在根目录下没有权限下载,所以切换到tmp进行下载
依次执行下面这几条命令,解压编译执行脚本
unzip 39772.zip #解压 29772.zip 文件
cd 39772
tar -xvf exploit.tar #解压 exploit 提权脚本 tar 包
cd ebpf_mapfd_doubleput_exploit
./compile.sh #执行脚本,编译文件
./doubleput #执行提权文件
成功提权到root,切换到root目录下查看flag
成功找到flag
