首先arp-scan -l
从网络接口配置生成地址
发现靶机IP
发现开放了22,80端口
访问80端口,发现网页使用的是qdPM9.1的版本
网页搜索发现此版本存在命令执行漏洞
但是这个需要进行身份认证才能利用,所以还需要账号密码
接下来直接进行目录扫描发现
在secret目录下发现了一张图片
下载下来发现图片存在隐藏信息
直接用stegseek破解密码
查看输出文件,得到一个邮箱和密码
登录80端口
在用户编辑中有头像上传功能,尝试上传一句话木马
上传成功
蚁剑连接
查看sudo权限,发现可以不用密码使用awk命令
先对靶机进行nc监听
连接成功执行命令:sudo awk 'BEGIN {system("/bin/sh")}'
成功提权到root权限
但是在目录下发现一个系统文件包,下载导入靶机2
对靶机2进行信息收集发现开放了22,80端口
先访问80端口
发现一个登录页面
看看登录框是否有sql注入,直接上sqlmap
先用bp抓包
sqlmap发现存在注入,直接一把梭
sqlmap -r a.txt -D doubletrouble -T users -C username,password --dump --batch
第二个用户可以ssh登录
登录查看系统版本号时发现此系统版本有脏牛漏洞
该漏洞利用dirtycow漏洞的pokemon漏洞利用作为基础,自动生成新的passwd行。运行二进制文件时,将提示用户输入新密码。然后将原始 /etc/passwd 文件备份到 /tmp/passwd.bak 并用生成的行覆盖 root 帐户。运行漏洞利用后,可以使用新创建的用户登录。
漏洞利用的文件:GitHub - firefart/dirtycow: Dirty Cow exploit - CVE-2016-5195
下载编译后执行文件
利用完成,你可以用用户名“firefart”和密码“root”登录