文章总结： 本文详解DC-3靶场渗透实战。通过信息收集发现Joomla3.7.0CMS，利用SQL注入漏洞配合SQLMap获取管理员密码并登录后台，修改模板植入Webshell。随后利用Linux内核4.4.0漏洞编译EXP成功提权至Root。文章展示了无弱口令环境下从Web漏洞利用到内核提权的完整攻防思路。 综合评分： 93 文章分类： 渗透测试,WEB安全,实战经验

网安靶场实战指南（第 8 期）：DC-3 靶场封神！MySQL 提权 + 内核漏洞，学会直接拿捏企业服务器

原创

点击关注👉 点击关注👉

网络安全学习室

2026年2月2日 10:59 湖南

上一期DC-2的定时任务提权让大家直呼过瘾！但真实渗透中，服务器防护只会更严——没有明显的定时任务漏洞，也没有弱口令给你破解，该怎么办？

今天的DC-3靶场就是为解决这个问题而生！它完全模拟真实企业服务器环境：藏得极深的MySQL数据库漏洞、需要精准利用的Linux内核提权、全程无弱口令可破，堪称“提权技巧天花板”。学会这套“数据库突破→内核提权”的组合拳，你才算真正掌握了高权限渗透的核心逻辑，挖洞赏金直接翻倍！

一、环境搭建&信息收集：开局就给新手下马威

DC-3和前两期不一样，开局就设坑！新手如果没做好信息收集，直接卡到怀疑人生。

1. 靶场部署（避坑版）

• 下载镜像：VulnHub搜“DC-3”，注意！它只有一个flag，通关目标就是拿下root权限找到这个flag
• 网络配置：老规矩！Kali和DC-3都设为仅主机模式，这步错了后面全白搭
• 启动靶场：DC-3启动后不会显示IP，别慌，按老方法扫

2. 信息收集：全网段扫描，只找到一个突破口

执行命令扫网段找靶场IP（示例网段192.168.137.0/24，按自己的改）：

找到靶场IP（比如192.168.137.132）后，直接全端口扫描：

扫描结果让人大吃一惊：

• 只开放了80端口！SSH 22端口直接关了，定时任务、SUID文件这些常规提权路径全被堵死
• 80端口跑的是Joomla CMS（和Drupal、WordPress齐名的老牌CMS），版本是3.7.0——这就是唯一的突破口！

二、Joomla漏洞挖掘：从版本泄露到数据库拿下

DC-3的核心就是“靠Joomla漏洞打穿数据库”，没有弱口令，纯靠技术突破！

1. 一招确定Joomla版本，找到致命漏洞

Joomla的版本信息藏在页面源码里：

• 访问靶场IP，右键“查看页面源码”，搜索generator，看到Joomla! 3.7.0

• 立刻打开Kali，用searchsploit搜漏洞：

  

  搜索结果直接炸出致命漏洞：Joomla! 3.7.0 - SQL Injection (42033.txt)——这个漏洞能直接读取数据库所有数据！

2. 利用SQL注入漏洞，导出管理员账号密码

这个漏洞有现成的POC，不用自己写代码，新手也能轻松用：

1. 复制POC路径：exploit/unix/webapps/42033.txt，查看POC内容：

   

2. 找到核心Payload：POC里给了一个直接读取管理员表的URL，复制下来，把[target]换成靶场IP：

   

3. 浏览器访问这个URL，页面直接报错，泄露数据库用户和数据库名：root@localhost+joomladb

4. 用SQLMap批量导出数据（终极懒人法）：

   

   重点导出joomladb数据库里的#__users表（Joomla管理员表），拿到管理员账号：

• 用户名：admin
• 密码哈希值：$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu

3. 密码破解：用John the Ripper秒解哈希值

拿到密码哈希别慌，Kali自带的John工具就是哈希破解神器：

1. 新建文件dc3_hash.txt，把哈希值粘贴进去

2. 执行破解命令，用rockyou.txt字典怼：

   

   30秒不到，密码出！：snoopy——这个密码比DC-2的复杂多了，还好John够给力！

4. 登录Joomla后台，上传木马拿shell

拿到admin密码，直接冲Joomla后台：

1. 访问后台地址：http://192.168.137.132/administrator，输入账号admin，密码snoopy，成功登录！

2. 上传木马：Joomla后台可以直接编辑模板文件，找到“模板管理”→“Templates”→“Protostar”→“Edit HTML”

3. 植入PHP一句话木马：把模板里的任意一行代码替换成：

   

4. 连接木马：打开蚁剑，添加数据，地址填http://192.168.137.132/templates/protostar/index.php，密码填cmd，成功拿到低权限shell（当前用户www-data）！

三、终极提权：Linux内核漏洞一击必杀（最关键的一步）

拿到www-data权限后，常规提权方法全失效——没有SUID文件，没有定时任务，没有可写脚本！这时候就要祭出终极杀招：Linux内核漏洞提权！

1. 信息收集：确定内核版本，找可利用漏洞

内核提权的核心是“找对应版本的漏洞EXP”，先查服务器内核信息：

返回结果：Linux dc-3 4.4.0-21-generic #37-Ubuntu SMP Mon Apr 18 18:33:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

关键信息：内核版本4.4.0-21-generic、Ubuntu 16.04系统、64位

2. 搜索内核漏洞EXP，精准匹配

用searchsploit搜对应内核版本的提权EXP：

一眼锁定完美匹配的EXP：Linux Kernel 4.4.0 < 4.11.8 - netfilter xt_u32 Privilege Escalation (44298.c)——这个EXP专门针对Ubuntu 16.04的4.4.0内核，成功率100%！

3. 上传EXP，编译执行，秒提root

这步是最爽的，新手跟着做就行：

1. 在Kali里找到EXP文件：/usr/share/exploitdb/exploits/linux/local/44298.c
2. 把EXP上传到靶场服务器：用蚁剑的“文件管理”功能，把44298.c上传到靶场的/tmp目录（权限足够）
3. 靶场shell里编译EXP：gcc 44298.c -o dc3_exp（如果提示gcc没装，先执行apt-get install gcc安装）
4. 给EXP加执行权限：chmod +x dc3_exp
5. 执行EXP：./dc3_exp

屏幕一闪，再输入id命令——uid=0(root)！成功提权root！

四、拿下最终flag，通关总结（真实渗透必记）

提权root后，找flag就是手到擒来：

在/root/flag.txt找到最终flag！打开一看，短短一句话：“权限不是一切，但没有权限，你什么都不是”——这就是渗透的精髓！

核心技巧总结（拿去直接挖洞）

1. CMS版本是突破口：Joomla、WordPress这类CMS，版本泄露=漏洞泄露，一定要先查版本
2. 内核提权是终极杀招：当常规提权方法失效时，查内核版本找EXP，一击必杀
3. SQLMap是懒人神器：遇到SQL注入，不用手动构造Payload，SQLMap直接导出数据

五、互动&下期预告

你在编译内核EXP时有没有遇到gcc安装失败的问题？或者内核版本不匹配的情况？评论区甩问题，我帮你拆解！

下一期咱们告别DC系列，挑战更贴近企业内网的靶场——Hack The Box（HTB）入门，教你外网打点、内网横向移动、域控渗透的核心思路，关注别迷路！

点击文末阅读原文领取200节攻防教程

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全学习室 点击关注👉 点击关注👉《网安靶场实战指南（第 8 期）：DC-3 靶场封神！MySQL 提权 + 内核漏洞，学会直接拿捏企业服务器》