@

目录

• 信息收集
• 尝试攻击
• 获取shell方法1
• 获取shell方法2
• 获取shell方法3
• 拿到root权限
• 拿FLAG
• 总结

信息收集

kali的ip为192.168.200.4，扫描出一个IP为192.168.200.5的Linux，怀疑是靶机

发现只开了80端口，估计纯靠web漏洞了

欢迎来到 DC-3。
这一次，只有一面旗帜，一个入口，没有任何线索。
要获得标志，您显然必须获得 root 权限。
如何成为 root 取决于您——当然，也取决于系统。
祝你好运 - 我希望你喜欢这个小挑战。 :-)

首先先目录爆破，其次对登陆界面进行暴力破解，但是成功的机率微乎其微

大部分网站都是没有作用的，只有少数几个可能有用

打开README.txt，发现用的框架，通过插件确定CMS的类型，版本为3.7

尝试攻击

首先想到在msf搜索相关漏洞

有好几个rce和文件上传的漏洞，但是大部分都版本不符合

只用5号，是针对3.7版本的，但是使用好像需要管理员权限才行

查看漏洞详情，发现漏洞编号CVE-2017-8917，打开详情中exploitdb的详情

发现paylaod

http://192.168.200.5/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x7e,(select database()),0x7e),1)'

报错注入相关知识

直接输入payload，发现出错

字太小一开始没注意，看了很久都没看到语法错在哪，最后认真一看报错信息

发现好像是闭合出了问题，吧exploitdb的payload的注释去掉就可以了

报错注入手工太麻烦，学一下用sqlmap跑，刚好exploitdb也给出了sqlmap的payload

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

显示是mysql，通过一系列爆破得出结果

uasername:admin
password:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

感觉使用特殊的算法加密的，上网搜索joomla密码破解，没发现什么结果

转眼一看网上的解题步骤，发现都是用什么john，然而我听都没听过，只能说实战经验还是少了，在使用我自己的方法前先学习一下别人的方法

使用john破解密码，然后得出密码snoopy

登陆一下，成功登录

获取shell方法1

还记得刚才msf的模块使用失败是因为没有网站的管理员权限，如今以及拿到，直接使用

成功返回meterpreter，我也不知道msf是怎么拿到cookies的，我也没有传，要是有清楚的欢迎评论区说一下

返回了meterpreter就很简单了，尝试其他获取shell的方法

获取shell方法2

寻找是否有文件上传的点，发现文章里可以上传图片，尝试上传图片马，但是有过滤，尝试绕过失败，好奇源码是怎么过滤的

获取shell方法3

点击进去后发现可以自己写php文件

写入msf的后门，学习一下采用正向连接的方式

一开始打算新建一个文件写入，但是发现找不到这个php文件的路径，只好直接写入index.php里面了，直接点击就可以打开index.php

然后msf正向连接后门，成功返回shell

拿到root权限

想按照DC1和DC2一样，使用suid提权，但是没有找到合适的进程，尝试使用内核提权，查看内核版本

显示是linux4.4，ubuntu16.04

特意翻译了一下权限提升的英语，在searchsploit搜索

searchsploit linux 4.4 ubuntu 16 privilege

结果所有c脚本都试了一遍，除了第一个能用，其他都用不了，但是第一个一直再跑也没跑出来，只能用txt那一项了，按照地址把文件下载然后通过描述符上传到靶机上，运行时说没有权限运行，所以首先要修改权限chmod u+x compile.sh，然后执行生成的./doubleput，最后终于拿到了root权限

拿FLAG

总结

了解了john的密码破解，熟悉了一下msf的后门生成和连接，第一次尝试linux内核提权，在这期间了解了如何使用searchsploit