Dc3

使用nmap扫描靶机，发现靶机只开放了80端口，那我们访问一下，查看有什么东西

提示我们只有一个flag，这个flag在/root目录中

看了一下，并没有找到好的切入点，只有一个登录点，那我们使用firefox浏览器中的Wappalyzer插件查看网站用了什么技术

发现使用了joomla内容管理器，我们查看一下joomla的版本，看看有没有可以利用的漏洞

使用命令joomscan –url 网址

找到joomla的版本为3.7.0

使用searchsploit工具找到漏洞源码

Searchsploit joomla 3.7.0

Searchsploit -m php/webapps/42033.txt

将源码保存下载，查看一下

要我们使用这个选项进行sql注入

正常进行爆破，成功把admin用户的密码爆破出来了

将此hash值使用john工具爆破出来，密码为snoopy

登录进入后台

将error.php文件内容修改为反弹shell，ip自行修改

再在kali执行nc -lvvp 1234命令

成功返回命令行

寻找一下有没有可以利用的进行提取

使用find / -perm -4000 2>/dev/null

发现并没有可以提权的地方，查看内核版本

Uname -a

这里也没有，再看看系统版本，再/etc/issue文件中

尝试利用一下，使用searchsploit工具搜索漏洞源码

查看一下这个文件的内容

让我下载一个名字叫39773.zip的压缩包，使用里面的脚本进行提权

我们将压缩包放在/var/www/html，再开启apache2，把压缩包上传到靶机

上传成功后，使用unzip命令将文件解压下来，里面的tar压缩文件需要使用tar -xf命令进行解压

先执行compile.sh脚本，再./doubleput这个脚本，成功提权