vulnhub靶场漏洞复现DC-3漏洞复现

已于 2023-07-27 11:28:00 修改
阅读量986 收藏 2
点赞数 2
分类专栏: vunlnhub靶场漏洞复现 文章标签: 网络安全 php web安全 安全 网络 tcp/ip 网络攻击模型
于 2023-07-19 21:23:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_61702710/article/details/131818280
版权

靶场下载地址:https://download.vulnhub.com/dc/DC-3-2.zip

目录

1.内网渗透

2.端口扫描

3.目录扫描

3.扫描指纹

4.漏洞扫描

5.sql暴库

6.漏洞利用

7.漏洞提权

8.总结

实验背景:DC-3跟DC-1一样是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。

攻击机ip:192.168.179.131 kali

靶机ip:192.168.179.9 ubantu

目标:与DC-1和DC-2不一样,DC-3只有一个flag,获取靶机上的flag

难度:较低

1.内网渗透

先利用namp扫描整个网段,找出靶机的IP为192.168.179.9

image-20230719211829967

2.端口扫描

扫描所有开放的端口,找出的开放端口为80

image-20230719211845669

根据对应的端口,找到可能存在的漏洞,找到一个名为cev-2017-8917的漏洞

 nmap --script=vuln -p80 192.168.179.9

image-20230719081336094

用msf查找漏洞,发现了一个漏洞,尝试进行攻击复现

image-20230719211912480

show options查看需要设定的参数

image-20230719081822506

设置目标ip:set rhosts 192.168.179.9,run进行攻击,发现没有token,攻击失败,这个是有用的,先做到这里,等一下再来。

image-20230719082021808

3.目录扫描

通过dirb遍历一下其可能存在的站点

image-20230719085340897

通过访问站点找到了一个登录界面,http://192.168.179.9:80/administrator/,联想到等一下可能需要得到账号密码

image-20230719085606288

3.扫描指纹

要下载插件扫描指纹信息,用kali自带的whatweb插件;

  whatweb 192.168.127.136

image-20230719082502256

4.漏洞扫描

发现其用的是joomla内容管理系统,其实在上面的漏洞扫描就发现了它,再查找一下关于joomla的漏洞

image-20230719082810506

找到了两个文件,都看一看,可以在42033.txt发现了sql注入漏洞,用sqlmap暴库

 vi /usr/share/exploitdb/exploits/php/webapps/42033.txt

image-20230719083138925

5.sql暴库

用它给的命令进行注入

 sqlmap -u "http://192.168.179.9/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs

image-20230719083413041

成功爆出库名

image-20230719083656730

再查看joomladb数据库

 sqlmap -u "http://192.168.179.9/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

image-20230719083923249

成功爆出表名

image-20230719084112776

再查看#users表

 sqlmap -u "http://192.168.179.9/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

image-20230719084302249

成功爆出表内容

image-20230719084501924

利用表名和字段再查看密码表

 sqlmap -u "http://192.168.179.9/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]

image-20230719084758661

成功爆出密码表

image-20230719084842515

将获得password密文保存到dc-3pwd.txt,用kali自带的john爆出明文,可得出最终用户名和密码

  • 用户名:admin

  • 密码:snoopy

image-20230719085112657

将得到的用户名和密码拿到上面获得的登录界面进行登录,发现登录成功

image-20230719090031537

6.漏洞利用

登录成功后成功获取到token,这个时候再去利用上面的cve-2017-8917,发现成功得到shell

image-20230719090353093

在meterpreter输入shell之后进入交互界面,id看一下当前用户为www-data,uname -a看一下当前的操作系统为ubuntu,根据之前的经验加上找不到flag,所以要考虑提权

image-20230719091040537

7.漏洞提权

查找一下Linux版本为4.4,ubuntu版本为16的相关漏洞,通过尝试,找到一个33772.txt可以利用

image-20230719101809135

查看一下这个文件,原本找到下面这个利用文件,但是发现页面丢失,无法下载

image-20230719101912683

在文件中又看到了source,尝试打开

image-20230719102229159

打开页面中有利用的源代码,也有利用的文件,下载文件传输到靶机上

image-20230719102426449

可以通过meterpreter的upload上传文件

image-20230719102626009

补充:由于meterpreter进入shell时没有回显,比较难看,可以通过python构造一个回显,命令为

 python -c 'import pty; pty.spawn("/bin/bash")'

将文件进行解压

image-20230719102816855

切换到ebpf_mapfd_doubleput_exploit目录下,执行compile.sh和doubleput,successfully说明执行成功

image-20230719103048010

whoami查看当前用户,发现用户为root,说明提权成功,cd到root目录下,发现了the-flag.txt,漏洞复现完成

image-20230719103446809

8.总结

dc-3自我感觉比前面两个要难,主要掌握

  • nmap多种用法

  • 漏洞库查找与利用

  • sqlmap暴库

  • john暴密

  • 代码提权

[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
DC系列漏洞靶场-渗透测试学习复现DC-1)
W983079520的博客
11-01 2957
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们拿到最后的root身份,过程还是挺有趣的! DC系列靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip(DC后的数字可以换成1-8中任意一个) DC-1是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 DC-1提权关键词:find
VulnHub DC3
baynk的博客
05-16 347
0x00 靶机环境 下载地址1:https://www.vulnhub.com/entry/dc-32,312/ 下载地址2 dc-3.2:https://pan.baidu.com/s/1LyKZbgQiQsSqpMlY8kNUBw 提取码: z4pv 下载地址3 dc-3:https://pan.baidu.com/s/1lt3ek4ra2jHbR4HVEyrk7g 提取码: j8cg 只有一个flag了,同时也只有一个切入点,而且官网上DC3好像升到了DC3-2,不知道到和以前的区别大不大,我这里就
Vulnhub DC-3
Pai_Space
02-15 306
192.168.37.132 This time, there is only one flag, one entry point and no clues. To get the flag, you'll obviously have to gain root privileges. How you get to be root is up to you - and, obviously, the system. Good luck - and I hope you enjo...
VulnHubDC-3
qq_45434762的博客
03-23 567
一个粗糙的信息收集通过扫描端口信息,我们看到服务器只开放了一个80端口,运行的是Joomla框架我们打开网站看看在首页提示我们,这个靶机只有一个Flag,并且没有任何线索使用dirb扫...
vulnhub-DC3
weixin_55129870的博客
05-15 559
开机出现错误,解决方法。趁着更改网络连接方式为nat模式。 开启kali.探测主机存活 nmap -sP 192.168.44.0/24 DC3IP: 192.168.44.143 扫描主机开放服务 nmap -A 192.168.44.143 -p 1-65535 只开放80端口,直接浏览器访问 指纹识别 whatweb http://192.168.44.143/ 结果显示使用apache平台,...
vulnhub靶场 DC-1靶机 渗透详细过程
最新发布
黑战士的博客
07-26 1338
1.扫描局域网主机netdiscover用法2.开放端口扫描2.MSF使用3.hydra爆破:sudo hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.0.100hydra+John密码包以上两种方式可以爆出flag4的密码4.suid提权:Linux下用SUID提权、find命令exec。
vulnhub靶场 DC-2靶机 渗透详细过程
黑战士的博客
02-21 1087
*4.rbash提权**
Vulnhub-DC 7-9 提权、端口敲门
2301_80115097的博客
04-28 1217
Vulnhub是一个提供了很多漏洞环境的靶场平台,其中的环境基本上都是做好的虚拟机镜像文件,需要使用VMware或者是VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚拟机到获取操作系统的root权限和查看flag。靶场部署Vulnhub官网:https://www.vulnhub.com下载地址:https://www.vulnhub.com/entry/dc-8,367/直接从官网下载做好的虚拟机镜像文件(我下载的Mirror版本);
Vulnhub靶机 DC-3
菜浪马废的博客
03-20 441
扫描ip 找到靶机192.168.0.131 发现开放80端口 必须访问一下啊 这个样子的,没啥信息 上插件 wappalyzer 火狐的指纹信息插件 nmap也扫了一下 实锤了,Joomla的cms 那肯定要用配套的joomscan扫一下啊 没事就扫一扫,扫扫更健康 没安装,先装一下 apt-get install joomscan 安装命令 看见版本号了,3.7.0,还有后台...
[Vulnhub] DC-3
weixin_63231007的博客
01-28 601
DC系列靶机-第三弹(JoomlaCMS漏洞+sqlmap+系统漏洞提权)
vulnhubdc3
qq_54030686的博客
06-08 338
各位师傅可直接移步至 查看此篇即可,本人只当做笔记,以理清逻辑关系 主机发现 nmap -sS 192.168.2.0/24 发现测试靶机的ip为192.168.2.107,进行端口扫描 发现仅80端口开放进行指纹识别 发现网站使用的框架为joomla,使用专属的joomlascan进行检测, (中途更改了下环境,现在目标为192.168.43.131,本机ip为192.168.4.128) 打开相应界面 使用joomlascan进行检测 并未检测到相关漏洞,但检测到了后台路径和joomla 3.7版本,谷
vulnhub DC系列 DC-3
m0_64815693的博客
12-29 1892
vulnhub DC系列 DC-3
vulnhub靶场DC-3
qq_58091216的博客
01-08 1639
如果您的网站正在运行 Joomla,您可以对您的网站使用 JoomScan 实用程序来发现漏洞或仅提供有助于攻击您网站的一般信息。漏洞扫描器(JoomScan)是一个开源项目,其主要目的是实现漏洞检测的自动化,以增强Joomla CMS开发的安全性。与以前的 DC 版本一样,这个版本是为初学者设计的,尽管这一次只有一个标志,一个入口点,根本没有任何线索。Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。我们可以看到用户名爆破出来了,密码是加密的,我们进行解密。
vulnhub渗透测试靶机DC-3
weixin_46128614的博客
01-11 873
靶机下载:https://www.vulnhub.com/entry/dc-3,312/ nmap 扫描只有一个80端口 直接访问 没有过多提示 用dirb跑发现了后台登录页面 是一个joomld搭的开源站 没有验证码 尝试爆破管理员密码 bp发现是snoopy 进入后台 找到template页面 编辑一个php文件 提醒:此处用的是冰蝎shell。msf的shell无法连上,system(...
vulnhub靶机】DC-3
travelnight的博客
03-10 4895
原知识星球老文搬运 拿到靶机之后导入到virtualBOX里面。 1. nmap扫描主机存活,192.168.56.104 有个80端口,不放心的话可以用masscan。 2. 直接访问看下,这里提示只有一个flag,直接拿到root权限。 3. 习惯性的上一下dirbuster。发现访问到不存在的URL时候服务器也是返回200OK,这个扫描就没有什么参考价值了。 4.御剑扫描一下,发现后台页面。这个是joomlaCMS 5.参考了下知乎的这个joomla渗透,https
vulnhub靶机之dc-3
m0_52328368的博客
08-14 1426
dc-3靶机教程
vulnhub靶场DC-3
kukudeshuo的博客
07-11 486
vulnhub靶场DC-3 环境准备 靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/ 攻击机:kali(192.168.58.130) 靶机:DC-3(192.168.58.146) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.58.146 使用nmap扫描查看目标靶机端口开放情况 可以看到目标靶机只开放
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值