一、准备工作
1.靶场链接:
百度网盘 请输入提取码 提取码: 48d3
2.启动靶场后会遇到如下情况:
2-1具体解决办法如下:
启动成功
3.查看kali的ip:ifconfig
二、信息收集
1.nmap的信息收集
(1)寻找靶机的ip,发现靶机地址为192.168.101.116
(2)端口扫描
(3)脚本扫描
2.扫描登录网址
使用dirb扫描,发现一个登录网站http://192.168.101.116/administrator/
三、漏洞探测
1.探索到joomla 3.7.0的数据库,命令:searchsploit joomla 3.7.0
2.注入漏洞编号为42033,命令:searchsploit -p 42033.txt
3.把漏洞文件复制到root下,命令:sudo cp /usr/share/exploitdb/exploits/php/webapps/42033.txt /root
查看42033.txt,命令:su root、cat 42033.txt
四、漏洞利用
1.数据库注入攻击
使用sqlmap自动注入工具对靶机执行sql注入代码, 查出5个数据库信息
(2)注入查询当前靶机正在使用的数据库为:joomladb
探测到users表的列名:password、username
(4)查看password列以及对应的username
2.用john给密码哈希值解密
(5)获得网站后台登录用户名admin和密码hash值:
admin 、$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
方法一:
将密文保存到文件Joomla370-136-admin-hash中,命令:vim Joomla370-136-admin-hash
使用john爆破hash值,得到密码:snoopy;命令:john Joomla370-136-admin-hash
方法二:
1.创建一个txt文件将密码hash值放入,命令:vim swn.txt;
2.john解密,命令:john --wordlist=rockyou.txt swn.txt
3.查看解出的密码,命令:john swn.txt --show
用得出的用户密码登录之前发现的一个登录网站http://192.168.101.116/administrator/
登录后台成功
点开网页模板,选择第二个模板
反弹shell
(1)写入反向连接的php代码
源码:
(2)访问刚才的写的php:http://192.168.101.116//templates/protostar//index.php
(4)优化命令执行终端,执行下面命令进入python交互式(注意要下载python环境才能运行):
3.提权
(1)查看靶机当前的操作系统版本:
(2)在kali里面寻找Ubuntu 16.04版本的漏洞
(3) 下载exp,将里面的exploit.tar上传,并解压运行
4. 执行代码进行提权,运行完毕获取root权限,发现flag
获取到root权限,并发现the-flag.txt文件