确认局域网中目标主机IP
确认目标开启的端口
确认IP为192.168.0.113
端口信息为:80端口
信息收集:
看得出使用joomla框架
针对性扫描 joomscan
确认版本号以及后台登陆页面,查到公开漏洞信息
存在注入,使用sqlmap进行注入先看看是否可以直接获取osshell以及sqlshell 卒
只能一步一步来
数据库 joomladb
表:#_users
选中username和password
查看密码
尝试使用john进行破解
登陆后台
在模板中,可以修改index首页的代码
把首页的代码设置为php反弹shell,选定模板,建立nc接收
nc -nvlp 1234
提权
这里应该有低版本的内核提权 39772.txt 在最后提示我们下载zip
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
解压出两个文件
直接就777权限 执行compile.sh
执行doubleput文件
最后获取flag