VulnHub靶机渗透之DC:3

这次练习的是DC系列靶机的第三个(一共6个)DC-3靶机下载地址https://download.vulnhub.com/dc/DC-3VMware.zip,有兴趣可自行下载。

第一步依然是nmap扫描,不再赘述,此靶机只开放了80端口,从扫描结果中可以发现网站使用了Joomla,看来是唯一的着手点了。

访问一下网站,没发现有什么线索,这个靶机只有一个flag,没有其他提示。

利用Joomlascan扫描网站,得到了Joomla版本和后台管理的路径。

在exploitdb中找到了Joomla 3.7.0的SQL注入漏洞可以利用。

在42033.txt中详细提供了SQL注入的方法。

使用sqlmap进行手动注入,得到了数据库信息,着重分析joomladb这个数据库。

joomladb数据库中有76个表,通过表名去寻找是否有users表。

找到了名为#__users表,其中保存了用户名和密码信息。

将users表dump出来,寻找密码,这里只有一个admin找好和hash后的密码。

利用john暴力破解,得到了明文密码为snoopy。

利用admin账号和破解得到的密码登陆Joomla后台。

利用weevely生成webshell,待使用。

在Joomla后台的模板管理中,选择一个模板并编辑,增加一个名为webshell的php页面。

将之前利用weevely生成的webshell粘贴进去,并保存。

weevely连接成功,获得shell。

查看内核版本。

用weevely shell生成一个meterpreter shell。

利用metasploit中的提权exploit没有成功,尝试在exploitdb上寻找其他方法,找到一个‘double-fdput()’ bpf(BPF PROG LOAD)提权漏洞。

回到meterpreter session,并执行shell命令切换到linux shell,利用python pty获得交互shell。

根据exploitdb中提供的连接下载提权攻击脚本到dc-3靶机的/tmp目录下。

解压缩并编译,warning忽略,不予理会。

执行编译后的文件,成功获得root shell。

总结:

1,分析web应用信息(平台,版本等)

2,利用exploitdb进行查询,简化漏洞挖掘过程。

3,破解密码登录后台,上传webshell。

4,寻找适用的漏洞进行提权。

本文分享自微信公众号 - 吾生也有涯IT也无涯(UnlessITSkill)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券