测试环境

DC-3：192.168.5.171

Kali：192.168.5.128

Ubuntu16.04重置密码

arp-scan -l 扫描局域网内存活主机失败，应该是靶机无法自动获取IP信息，需要登录到靶机中进行操作

开机进入GRUB页面，选择带有recovery mode选项，按e进入

将“recovery nomodeset”替换成“quiet splash rw init=/bin/bash”

完成后 按 "ctrl+x"重启进入系统

重新配置root密码，使用dhclient命令重新获得IP地址

信息收集

主机发现

端口服务扫描

指纹识别

网站目录扫描

GetShell

joomla框架

浏览web页面，发现没有什么东西，登陆点进行弱口令、绕过方式失败

在目录扫描是找到/administrator路径，发现后台登录页面

可以看到是Joomla框架的网站，可以使用Joomlascan工具进行扫描

扫描到版本为3.7.0，查找版本漏洞

存在sql注入漏洞，看一看说明文档

 漏洞文档给出了payload以及存在的注入类型

SQL注入脱库

直接复制使用给出的payload，修改IP地址，跑一跑数据库

库名：joomladb，表名：#__users，字段：name、password

暴力破解

将admin的密码保存下来，进行john暴力破解

编辑器反弹shell

拿到用户名密码，登录到后台，找到编辑器，可以在源码中写入一句话反弹shell

这里可以多试试反弹shell的命令，可能有的会失败。

提权

系统漏洞

查看系统版本，Ubuntu16.04

查找Ubuntu16.04的系统内核漏洞，发现存在提权漏洞

查看漏洞说明文档，在文档的最后给出了GitHub的地址，

下载已知漏洞exp

下载39772.zip

unzip进行解压

解压后发现还有一个exploit.tar压缩包，再次进行解压

解压后找到compile.sh执行文件

执行compile.sh文件和，会生成doubleput文件，再次执行doubleput文件，提权成功

总结

1、ubuntu重置密码，重新获取IP地址

2、CMS已知漏洞，如果是开源的，可以下载对应版本进行代码审计

3、编辑器漏洞，写入恶意代码进行执行命令。如果没有检测的话

4、系统内核漏洞进行提权