用户
搜索
  • TA的每日心情
    奋斗
    昨天 10:06
  • 签到天数: 51 天

    连续签到: 3 天

    [LV.5]常住居民I

    i春秋-见习白帽

    Rank: 3Rank: 3

    29

    主题

    36

    帖子

    1174

    魔法币
    收听
    0
    粉丝
    4
    注册时间
    2020-7-23
    发表于 2020-8-19 08:16:37 42663
    本文原创作者:皮卡皮卡丘,本文属i春秋原创奖励计划,未经许可禁止转载!
    0x00: 下载链接
    看了一下描述,本次靶机只有一个flag
    0.png

    解压完后有个.ova文件
    1.png

    点击选择一个合理的位置进行安装
    2.png

    记得改为NAT模式
    3.png

    同时调一下IDE变成0:0设置完成开机即可
    4.png
    0x01: 探测靶机
    先用netdiscover,确认靶机IP排除.1,.2默认网关可以确认靶机IP192.168.204.133
    命令:netdiscover -r 192.168.204.0/16
    5.png
    然后开始用nmap扫描端口,这次开放的端口比较少,只有一个80端口。不过在http-generator那里显示Joomla,这是一个CMS来着
    命令:nmap -A -sS -sV -v -p- 192.168.204.133
    6.png

    再用whatweb探测,确认了是Joomla CMS来的
    7.png

    既然是个Joomla的网站可以访问默认的/README.txt来查看版本信息,可以知道版本为3.7
    8.png
    0x02: 挖掘漏洞
    启动一下MSF,搜索一下Joomla 3.7可以找到一些SQL的漏洞
    9.png

    打开其中的一个已经有SQLMAP的使用方法了
    10.png
    直接修改IP地址放到SQLMAP里面跑就行了,然而还是推荐大家在主机跑吧。测试了一下主机跑要10分钟,而kali要跑15分钟。。。。。。。
    命令: sqlmap -u"http://192.168.204.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"--risk=3 --level=5 --random-agent --dbs –batch
    Python sqlmap.py -u"http://192.168.204.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml"--risk=3 --level=5 --random-agent --dbs –batch
    11.png
    开始逛该选中joomladb库里面有个users
    12.png

    选中user表里面之后有关键词,usernamePassword
    13.png
    直接—dump提取数据除了有点不是很美观之外。。。。
    14.png
    尝试过用在线MD5然而解不出来,最后保存成文本用john直接跑出密码出来
    Admin:snoopy
    15.png
    0x03: 上传反弹shell
    这里输完刚才得到的账号密码以后成功进入后台接下来就寻找可以修改源码的地方
    16.png
    最后在Extensions/template/template下发现可以更改代码
    17.png
    然后去到kali目录下/usr/share/webshells/php/的反弹shell复制里面的代码
    18.png

    然后把代码贴上去,修改IP地址和端口
    19.png
    然后点SAVE,在访问一下主页,再次之前记得得提前开启netcat,成功反弹
    20.png
    0x04:提权
    由于是反弹shell不知道密码所以先放弃sudo -l,改为uname -a cat/etc/issue查看内核和版本号,得到2个关键信息 Ubuntu 16.04 4.40-21-generic
    21.png

    然后在必应搜索到该payload
    22.png
    注:该payload仅仅只是介绍,真正下载的是https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

    下载完以后解压一下我们的目标是exploit.tar
    23.png
    然后复制我们的目标exploit.tar到我们的根目录下方便操作,利用python开启共享模式
    24.png

    然后再目标服务器上用wget命令下载下来
    25.png
    26.png
    运行方法在https://www.exploit-db.com/exploits/39772底下有张图有介绍如何运行

    按照步骤成功得到root权限并且得到flag
    28.png

    25.png
    不知不觉都更新到14章了,厉害了
    使用道具 举报 回复
    发表于 2020-8-20 11:22:51
    向勤劳的表格致敬!
    使用道具 举报 回复
    发表于 2020-8-20 11:23:00
    感谢分享
    使用道具 举报 回复
    发表于 2020-8-20 22:26:57
    辛苦了,谢谢分享
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册