【技术分享】实战dc-3靶场及其技巧讲解|dc-3|博创|广州|技术分享|武汉|靶场|靶机

（一）前言：

本期技术文章将与大家分享小星实战“dc-3靶场”的经验，通过分析其渗透过程以及不同的getshell方法，与大家共同探讨该靶场的破解技巧。

（二）基本情况

本次靶机是vulnhub平台下的DC系列靶机第三台，下载地址如下：http://www.five86.com/downloads/DC-3-2.zip。虽然该靶机的难度系数为简单且只有一个flag，但是只有获取了root的权限才能获取该flag。

（三）渗透过程

1. 首先获取靶机的IP，使用nmap对当前网段存活主机nmap -sn 192.168.1.0/24进行扫描。

2. 小星经过排查分析，确定192.1681.105为目标靶机，使用nmap对其进行全端口扫描探测nmap -sS --open -Pn -p- -v 192.168.1.105。

3. 扫描后发现，全端口中只开放了一个80端口为http服务。小星使用浏览器进行访问，浏览器插件识别出当前网站是由Joomla搭建的，网站语言为php。

4. 使用dirsearch扫描网站目录，但暂未发现有用的信息。

5. 使用JoomScan探测发现，当前网站为Joomla 3.7.0，通过互联网搜索可得知Joomla已被曝光的历史漏洞。

6. 搜索当前版本，发现存在sql注入和远程代码执行；再通过手工测试sql注入，结果显示现象确实存在。

备注：搜索的前提条件是需要得知管理员的账号密码。

7. 直接将数据包放在txt中，使用sqlmap跑数据。当前用户为dba权限，但无法直接getshell。

备注：此处因为表名存在特殊字符，所以需要使用引号，在读取数据的时候不能使用--batch。

8. 管理员密码的读取结果为密文。

9. 将密文写入txt中，使用john工具进行破解，成功破解出密码为snoopy。

（四）getshell方法1

1. 使用账号密码进入管理后台，网上搜索后台可以在模版处getshell；点击Extensions ->Templates ->Templates ，在两个模版中选择其中一个。

2. 点击new file，新建一个php文件。

3. 在php文件中写入php免杀一句话后保存。

4.浏览器访问以下网址，结果显示存在文件。

http://192.168.1.105/templates/beez3/haha.php

5. 使用蚁剑，连接成功。

（五）getshell方法2

1. 前面通过sql注入，我们已经得知管理员的账号和密码；使用普通管理员远程代码执行以进行攻击，并可以直接使用网上的脚本进行getshell。

脚本地址如下：https://github.com/HoangKien1020/CVE-2020-11890

2. 使用浏览器访问，直接执行系统命令。

3. 由于当前权限为www，需要进行提权操作，查看当前系统的基本信息。

4. 使用searchsploit来搜索当前操作系统可利用的提权漏洞。

5. 经过测试发现，提供的列表中若使用39772，可以提权成功。将39772.zip上传到靶机和对其解压，同时解压exploit.tar文件，依次执行compile.sh和doubleput后即可成功提权。

unzip 39772.zip

tar -xvf exploit.tar

cd ebpf*

./compile.sh

./doubleput

6. 跳转到/root目录，成功获取flag。

（六）总结

从总体上看，靶场相对简单，但是在蚁剑上执行提权且操作失败这个步骤损耗了一定的时间。小星原本设想能够从蚁剑处直接反弹一个shell到服务器上，但是遗憾失败了；最后还是需要通过利用模版的漏洞写入php的反弹shell代码，获取到交互式的shell后才能提权成功。

（七）了解小星，了解星云博创

星云博创科技有限公司（简称“星云博创”）成立于2016年，是国内新兴的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。星云博创设北京为北方总部，广州为南方总部，并于成都、合肥、南昌、贵州、武汉、太原、哈尔滨等多个城市设立分支机构。同时，星云博创为不断完善客户服务体系和应急响应体系，在全国10余个省、市、自治区、直辖市建立三级服务支持中心，7×24小时接收客户需求，及时提供标准一致的安全服务。

作为一家以技术先导的企业，星云博创始终坚持在网络安全、数据安全、态势感知、等级保护、合规性安全管理等领域进行技术创新，利用安全分析、大数据分析、人工智能等技术，对网络空间安全要素、安全风险进行深度挖掘与关联分析，构建了多层次的纵深防御体系，持续推出态势感知平台、静态脱敏系统、终端安全监测系统等一系列优秀的安全产品和行业解决方案，广泛应用于政府、运营商、医疗、教育、电力、能源等多个领域，让风险无所遁形。

星云博创已获得ISO9001、ISO27001、 ISO20000管理体系认证，CMMI5软件成熟度认证，信息系统安全集成服务、信息安全风险评估服务、软件安全开发服务资质的CCRC二级认证，及安全运维服务资质、应急处理服务资质的CCRC三级认证。此外，星云博创还是国家信息安全漏洞库（CNNVD）技术支撑单位、海南省网络安全应急技术支撑单位、广州市应急联动机构支撑单位。