信息收集

DC-3靶机:192.168.140.139

Kali机:192.168.140.138

Nmap检索开放端口及服务 打开网站如下: 发现是Joomla框加搭建的web服务 使用joomscan工具进行扫描发现后台路径和版本

漏洞发现利用

寻找Joomla 3.7.0历史漏洞,发现该版本Joomla存在sql注入漏洞 尝试复现成功回显主机名

http://192.168.140.139/index.php?option=com\_fields&view=fields&layout=modal&list\[fullordering\]=updatexml(0x23,concat(1,user()),1)

使用sqlmap进行注入得到库名 查出全部表后,继续注入#_users的字段 尝试获取用户名密码 成功得到用户名和密码,但密码是NTLM格式,使用john工具进行破解(rockyou.txt默认字典),得到明文密码:snoopy 尝试使用admin:snoopy进行后台登陆

getshell

在当前主题页写一个php一句话木马 蚁剑连接http://192.168.140.139/templates/beez3/html/test.php 发现是www-data权限 查看linux内核版本

脏牛提权

发现该版本收到脏牛提权漏洞影响 尝试脏牛提权 上传脏牛提取脚本,make,执行后提示已将root密码重置为dirtyCowFun 尝试切换用户发现需要terminal 先反弹shell到kali机 Kali监听9999端口 Python开启交互式shell

python -c ‘import pty; pty.spawn(“/bin/bash”)’

输入密码后发现切换成功 在root下发现flag 至此靶场全部内容结束