VulnHub靶机渗透之DC:3

这次练习的是DC系列靶机的第三个（一共6个）DC-3靶机下载地址https://download.vulnhub.com/dc/DC-3VMware.zip，有兴趣可自行下载。

第一步依然是nmap扫描，不再赘述，此靶机只开放了80端口，从扫描结果中可以发现网站使用了Joomla，看来是唯一的着手点了。

访问一下网站，没发现有什么线索，这个靶机只有一个flag，没有其他提示。

利用Joomlascan扫描网站，得到了Joomla版本和后台管理的路径。

在exploitdb中找到了Joomla 3.7.0的SQL注入漏洞可以利用。

在42033.txt中详细提供了SQL注入的方法。

使用sqlmap进行手动注入，得到了数据库信息，着重分析joomladb这个数据库。

joomladb数据库中有76个表，通过表名去寻找是否有users表。

找到了名为#__users表，其中保存了用户名和密码信息。

将users表dump出来，寻找密码，这里只有一个admin找好和hash后的密码。

利用john暴力破解，得到了明文密码为snoopy。

利用admin账号和破解得到的密码登陆Joomla后台。

利用weevely生成webshell，待使用。

在Joomla后台的模板管理中，选择一个模板并编辑，增加一个名为webshell的php页面。

将之前利用weevely生成的webshell粘贴进去，并保存。

weevely连接成功，获得shell。

查看内核版本。

用weevely shell生成一个meterpreter shell。

利用metasploit中的提权exploit没有成功，尝试在exploitdb上寻找其他方法，找到一个‘double-fdput()’ bpf(BPF PROG LOAD)提权漏洞。

回到meterpreter session，并执行shell命令切换到linux shell，利用python pty获得交互shell。

根据exploitdb中提供的连接下载提权攻击脚本到dc-3靶机的/tmp目录下。

解压缩并编译，warning忽略，不予理会。

执行编译后的文件，成功获得root shell。

总结：

1，分析web应用信息（平台，版本等）

2，利用exploitdb进行查询，简化漏洞挖掘过程。

3，破解密码登录后台，上传webshell。

4，寻找适用的漏洞进行提权。