DC3靶场通过及溯源分析

原创 已于 2025-11-26 17:20:10 修改 · 140 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #网络 #运维

于 2025-11-26 10:46:16 首次发布

一、DC3靶场环境分析

只开启了80端口www服务,3306端口仅能本机访问。

nmap探测,发现只有80端口。

二、信息收集

访问目标网站,提示我们只有1个flag,一个入口,并且没有如何线索,只有拿下root权限,才能获得。

对于网站我们通常扫描一下目录和文件:

其中/administrator是管理员的登录界面,并且更具readme.txt内容,了解它是一个joomla3.7的cms系统。

同时也要注意扫描到的/templates目录,后续可以采取上传文件或者新建文件时候,需要知道网站目录,而此时这个结果给了我们提示。

这样,我们自然想到两种方式进行下一步工作:

  • 爆破口令。这种方式我试过,但是用bp爆破时候发现,这个网站有token防护,还需要破解token机制,就此放弃。
  • 网站漏洞。

    三、漏洞通关

    在kali中搜索searchsploit joomla 3.7,发现弹药库里第1条和第二条,都是针对joomla 3.7的sql注入,其中44227.php,放在自建的网站下,输入目标网站,会自动获取管理员用户名和密码,但是由于某个请求不可达,显示不出来,在我这不可用,只能选择第二种手动注入方式。

    我们也可以直接在msf中搜索,选择use 0,测试发现,获取会话session的前提是管理员已经登录了。

    因此对我来说,还是要通过sql注入来获取用户名和密码,获取后登录网站,通过文件上传或者msf攻击模块获取php的shell。

    (1)sql注入

    根据文档提示,这个界面存在sql注入的问题。

    使用sqlmal工具开始爆库:

    获取数据库名称

    sqlmap -u "http://192.168.136.186/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

    数据库为joomladb,继续获取表名

    sqlmap -u "http://192.168.136.186/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables  -p list[fullordering] --batch

    发现又#_users表,继续爆列名

    sqlmap -u "http://192.168.136.186/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns  -p list[fullordering]

    继续爆破username和password字段,并用john破解密码为snoop

    (2)msf获取shell

    使用admin/snoopy在/adminitrator界面登录后,用msf的exploit模块,设置好地址,直接run,得到shell。

    (3)上传pesss脚本搜集信息

    上传信息收集脚本到tmp目录

    我们也可以直接用命令搜集基本信息

    使用脚本一键检测,发现了系统版本有漏洞(标红),

    告诉我们漏洞情况,后面用到的是CVE-2017-16995和CVE-2016-5195

    在searchsploit中搜索,发现可以利用的弹药库是CVE-2017-16995,也就是39772.txt。dirtycow 2我尝试过,但是没有成功,反而把靶机搞崩了,相比而言CVE-2017-16995就温和很多。

    (4)CVE-2017-16995

    查看文档说明39772.txt

    在目标主机下载并且解压

    安装txt说明运行./compile.sh ./doubleput.c

    获取flag,flag在/root目录下。

    四、溯源情况

    用脚本溯源分析,查看异常情况。

    (一)进程情况

    (二)计划任务

    root用户,每分钟执行一次恶意脚本。

    www-data用户

    (三)用户界面

    用户界面报了大量寄存器问题

    [网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
    杨秀璋的专栏
    05-13 9650
    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell反弹、权限提升和获取flag。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。基础性文章,希望对您有所帮助。
    [网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
    杨秀璋的专栏
    04-20 1万+
    这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
    DC2 靶场通关及溯源分析
    yiduiguwen的专栏
    11-18 647
    在完成通关后,我们获得了一个root账号权限,通过修改sshd文件,新增root用户密码,配置sshd服务允许管理员root账户登录,并将root账户加入可允许登录账号得列表中(此前只有tom可以登录)。
    DC1 靶场通关及溯源分析
    yiduiguwen的专栏
    10-28 725
    本文从溯源角度分析DC1靶场渗透过程。首先通过hydra爆破获得密码后,详细记录了攻击前后系统状态变化:msf利用Drupal 7.0漏洞建立会话后,观察到异常网络连接(59148→4444端口)和两个可疑php进程;通过解码apache日志发现回连信息。在获取flag过程中,利用数据库配置文件找到凭证,修改admin密码哈希值登录系统。最后通过分析/var/log/auth.log验证了ssh爆破痕迹。文中包含关键命令如提权操作、密码哈希生成和数据库修改等,完整呈现了攻击链和相应的取证分析方法。
    dc-4靶机 命令注入及溯源反制
    m0_48454948的博客
    01-06 145
    命令注入及溯源反制
    纵横网络靶场--协议相关writeup
    潇逗
    04-10 2032
    纵横网络网址: https://game.fengtaisec.com/黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG,flag形式为 flag{} 下载pcap文件。 方法一: 直接找modbus协议 ,直接length进行排序,长度117也比较可疑,打开就是flag 点击追踪流-》TCP 方法二:拿到流量分析的文件,观察到他现实读取了线圈和保存寄存器
    红队内网靶场
    qq_18811919的博客
    04-14 4265
    下面几个跨域靶场会陆续加上vCenter/Kubernetes/gitlab/ADCS/exchange/等常见系统,也会陆续做安全运营相关靶场从防守方视角反推红队攻击路径逆向分析木马IoC排查终端木马编写相关报告,如果大家对靶场系列感兴趣的话欢迎关注。
    记录渗透靶场实战【网络安全】
    热门推荐
    kali_Ma的博客
    11-06 2万+
    第一次写靶场实战的文章,有不足之处还请多多指教。本次实战的靶场是红日安全vulnstack系列的第二个靶场靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 环境搭建 网络环境 网卡配置 只需要在VM上选择对应网卡即可,不需要在靶机中进行配置。 DC IP:10.10.10.10 (VMnet5) OS:Windows 2012(x64) WEB IP1:192.168.111.80 (VMnet6) IP2:10.10.10.80 (VM
    红日靶场vulnstack 4靶机的测试报告[细节](三)
    ccc_9wy的博客
    12-08 1067
    基于渗透测试流程测试vulnstack 4靶场;内网渗透;域渗透;黄金票据;权限维持;Kerberos;红日靶场;痕迹清理;清理日志;krbtgt。
    应急靶场 | 流量分析溯源
    qq_34839026的博客
    11-04 45
    该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。回到刚才导出数据的界面可以看到,红框是题目所述IE漏洞、蓝框是flsh有关的洞、黄框是java有关的洞。科学的方法可以看到下放的注释,存在一个dhcp表示,靠谱的直接从过滤器上输入dhcp就行了。打陇剑的时候,粗暴的方法不行,那在这里试试,直接提取文件看看有啥。图片马应该不是,不然我的杀软应该报毒了,剩下就是圈住的可能有问题,但是打不开,只能去包看。
    [网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
    杨秀璋的专栏
    04-11 1万+
    这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
    墨者学院-CMS系统漏洞分析溯源(第4题)
    JimWu的博客
    09-04 914
    CMS系统漏洞分析溯源(第4题) 难易程度:★★★ 题目类型:身份认证和会话管理 使用工具:FireFox浏览器、wwwscan、菜刀 1.打开靶场,用wwwscan扫一下。 发现后台/admin/home.asp 2.访问后台http://219.153.49.228:49339/admin/home.asp,显示还没有登陆。 3.使用cookie-editor,伪造cookie,添加use...
    Linux---进程概念(一)——冯诺依曼体系、操作系统、进程、PCB的概念讲解
    2401_88465894的博客
    11-22 836
    本文系统阐述了计算机系统的核心概念。首先介绍了冯诺依曼体系结构,包括五大组件(输入设备、存储器、运算器、控制器、输出设备)及其协作关系,重点解释了内存作为CPU与磁盘间缓冲的重要性。其次深入剖析了操作系统的本质,即通过"先描述再组织"的方式管理软硬件资源,将管理对象抽象为数据结构进行操作。然后详细讲解了进程概念,指出进程由内存中的程序代码/数据和PCB(进程控制块)共同构成,并阐述了进程调度中上下文切换的机制。最后说明了进程标识符的获取方式,强调用户程序必须通过系统调用访问内核数据结构。
    使用 nethogs 和 nload 进行 Linux 网络监控
    Zsr1023的博客
    11-22 108
    特性nethogsnload监控对象进程网络接口核心问题谁在占用带宽流量总体多大,趋势如何优势精确定位到问题进程直观显示总体流量和速率变化关系微观,深入进程内部宏观,把握整体状况。
    Linux】make 与 makefile 实现自动化构建
    L_0907的博客
    11-24 467
    本篇文章主要介绍 Linux 中 make 工具与 makefile 来实现自动化构建
    设计模式之原型模式在 C 语言中的应用(含 Linux 内核实例)
    鹰之翔
    11-24 99
    原型模式是一种创建型设计模式,通过复制已有对象(原型)来创建新对象,避免重复初始化。C语言实现时,使用结构体封装原型对象,通过函数指针定义克隆接口,支持浅克隆和深克隆。 示例1展示了用户对象的基础克隆,复制ID、姓名等属性。示例2演示了含动态内存属性的深克隆,确保复制指针指向的内容而非仅指针本身。原型模式适用于复杂对象初始化或批量创建相似对象场景,提高效率并保持一致性。 关键点: 原型模式解耦对象创建与实现 C语言通过结构体和函数指针实现 区分浅克隆(基础属性)和深克隆(动态内存) 适用于资源密集型对象的创
    Linux 软件包管理教程
    最新发布
    2403_88102829的博客
    11-24 537
    Rocky Linux8 -YUM/DNF包管理列出所有启用的仓库列出所有仓库,包括禁用的配置仓库添加 EPEL 仓库启用或禁用仓库 dnf config-manager -- (disable/enable) repository-name软件包搜索和查询搜索软件包:查看软件包详细信息列出所有可安装的包:列出已安装的包:查找提供特定文件的包:查看包的依赖关系软件包安装安装单个软件包安装多个软件包从本地rpm文件安装重新安装软件包安装软件包组列出可用的组。
    Linux 网络基础】网络通信中的组播与广播:基础概念、原理、抓包与应用
    love131452098的博客
    11-24 838
    摘要: 组播(Multicast)和广播(Broadcast)是网络通信中两种重要的数据传输机制。组播面向特定订阅组(IPv4 224.0.0.0/4,IPv6 ff00::/8),通过IGMP/PIM协议实现成员管理和路由分发,适用于视频会议、股票行情推送等场景;广播则在同一二层域内泛洪(MAC ff:ff:ff:ff:ff:ff),用于ARP、DHCP等协议。关键配置包括交换机IGMP Snooping、路由器PIM-SSM/Storm Control,并需注意TTL、防火墙策略。常见问题包括组播丢包(
    OpenHarmony Linux 命令行工具适配实战:基于 Cursor × WSL 的 tree 2.2.1 交叉编译与 HNP 打包全流程指南
    wei_shuo的博客
    11-22 8303
    OpenHarmony Linux 命令行工具适配实战:基于 Cursor × WSL 的 tree 2.2.1 交叉编译与 HNP 打包全流程指南
    评论
    成就一亿技术人!
    拼手气红包6.0元
    还能输入1000个字符
     
    红包 添加红包
    表情包 插入表情
    表情包 代码片
     条评论被折叠 查看
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值