靶机实战-vuluhub系列-vulnhub_DOUBLETROUBLE_1

简介: 靶机实战-vuluhub系列-vulnhub_DOUBLETROUBLE_1

下载地址


https://www.vulnhub.com/entry/doubletrouble-1,743/


环境搭建


VirtualBox,vmware靶机:192.168.56.106kali:192.168.56.102

取靶机IP

640.png


靶机IP为:192.168.56.106

端口扫描


nmap -A 192.168.56.106 -p 1-65535

640.png

发现开启了 22,80端口

打开网站,发现是一个后台登陆界面

640.png

最下面也可以看到是qdPM9.1,尝试了万能密码,和弱口令都无法进行登录,sql注入也没法进行注入。

看上去有点像是shiro框架,利用shiro反序列化工具进行测试,无果。
通过搜索引擎查找相关的漏洞,发现都是要登录后台才能利用的

目录扫描

640.png


在install目录中发现的也是qdPM9.1

640.png

在secret中有一张奇怪的图  doubletrouble.jpg。和靶机的名字一毛一样

640.png


使用stegseek对图片进行解密  只能在linux中安装,我是在kali里安装的


github:https://github.com/RickdeJager/stegseek/releases

kali自带了rockyou.txt,不过可能是rockyou.txt.gz形式,需要解压一下



gunzip /usr/share/wordlists/rockyou.txt.gz   #解压sudo stegseek ./doubletrouble.jpg /usr/share/wordlists/rockyou.txt

640.png

果然这张图有问题     得到账号和密码


otisrush@localhost.com/otis666

640.png

成功登录了后台

qdPM漏洞利用

在db里的一个远程代码执行漏洞

https://www.exploit-db.com/exploits/50175

640.png


把这个下载下来,在本地使用python运行,格式有点问题 ,有些地方需要把回车调一下

640.png

脚本出错,,在upload/目录下没有看到上传的shell,上传失败。

分析漏洞代码,发现就是用户的myAccount界面的图片那一栏是可以上传文件的,那我们就可以上传一个php反弹shell的脚本。

上传shell的地址:


http://192.168.56.106/index.php/myAccount


91737ce79b7dde067cb2b411dd74180a.png


看着是报错了,感觉没有上传成功,但是去upload目录进行查看,是上传成功了的


a696479d9301761c891acb588b268873.png


kali监听自身端口4444,刷新马子页面,即可获取执行shell

8b98315d94be2e54d9f705f4f4fb2e7f.png

提权

查看当前用户能使用sudo的权限 ,可免密执行awk命令

8fb90c91e9b0fb5f27a4823e2668c7da.png


搜索引擎搜索awk,发现该命令可以进行提权,使用如下命令


sudo awk 'BEGIN{system("/bin/bash")}'

f929dfc57a3f9c58540aa6139faec465.png


获得了root权限  ,切换到root家目录

11cd01dedbe9f328f296d4487c3d56eb.png

看到了一个和靶机一样的文件

查看靶机是否有python环境  


python –-version

26389e3407e2fe5c362ab2e5e2f6e98d.png


python开启http服务进行下载


Python >= 2.4python -m SimpleHTTPServer 8000

1111e1086d377efb39c39f08ef65184b.png


在本地导入下载的doubletrouble.ova

获取doubletrouble.ova的IP

8911c5f8f0f82db5a30fd7111a7e8037.png


靶机IP为:192.168.56.107

端口扫描


nmap -A -p 1-65535 192.168.56.107

869c812c2684eda828ee3bf7fefa00a5.png

开启了22和80端口

80端口进行查看网站是一个登录页面

4f7eea4a8a8aa0dd0702a023120e43c1.png

目录扫描

da9a2aee5fa5b710dd587db549e6da8c.png

只得到了一个index.php页面也就是登录界面,进行万能密码的尝试

查看是否存在注入

burp抓包,使用sqlmap测试发现是存在延时盲注

228fed4780d193d73924dfeb9e4a6eda.png

使用sqlmap跑出来两个账号密码


python2 sqlmap.py -r 111.txt -p uname -Ddoubletrouble -T users --dump

294450d001357684efdf85ca63f7dcba.png

使用这两个账号密码登录网站发现都是无法登录

尝试登录ssh,使用第二个账号密码成功登录ssh

e6a72d837b574fcac80acd2c65f94767.png

提权

不存在sudo命令

    查看系统版本uname -runame -a得到的是3.2.0

    e7cac999e49129b386d865740ff7fc79.png


    cat /etc/*-release 发现是debain 7


    852902fe91a8de54e38f53d3ff046ba2.png


    搜索引擎查找相关提取漏洞,发现可以通过脏牛提权

    cd7a930eb8bdaa6cdbb2490eac7a8888.png


    Github:https://github.com/FireFart/dirtycow

    这个poc可以生成一个账号名为firefart的root用户

    下载poc上传到靶机的tmp目录下,然后编译,执行


    gcc -pthread dirty.c -o dirty -lcrypt./dirty


    • 4f054db01a1c654f8b838236d2a7658c.png
    su – firefartroot

    成功提权到root权限,获得flag

    8333b2ca46e8528fefad406d2792a75e.png


    本次知识分享到这就结束了,谢谢大家的观看

    相关文章
    |
    安全 Shell
    vulnhub靶场—matrix-breakout-2-morpheus靶机
    vulnhub靶场—matrix-breakout-2-morpheus靶机
    161 2
    |
    安全 Shell 数据库
    Vulnhub靶机DC-1渗透笔记
    关于Vulnhub Vulnhub是一个特别好的渗透测试实战网站,提供了许多带有漏洞的渗透测试虚拟机下载。 新手入门DC-1: 下载地址: https://www.vulnhub.com/entry/dc-1-1,292/
    115 2
    Vulnhub靶机DC-1渗透笔记
    |
    存储 SQL 安全
    VulnHub靶机DC3渗透笔记
    Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战 从靶机DC-3开始,只有一个最终的flag,只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:http://www.five86.com/downloads/DC-3-2.zip
    137 1
    VulnHub靶机DC3渗透笔记
    |
    安全 Shell Linux
    vulnhub靶机系列之zico2
    vulnhub靶机系列之zico2
    |
    SQL 算法 安全
    BlackRose: 1-VulnHub
    BlackRose: 1-VulnHub
    |
    安全 Shell 网络安全
    vulnhub靶机 | DriftingBlues:7 write-up
    vulnhub靶机 | DriftingBlues:7 write-up
    107 0
    |
    SQL 网络协议 安全
    靶机实战-vuluhub系列-pylington:1
    靶机实战-vuluhub系列-pylington:1
    靶机实战-vuluhub系列-pylington:1
    |
    SQL 安全 Shell
    靶机实战-vuluhub系列-Me-and-My-girlfriend-1
    靶机实战-vuluhub系列-Me-and-My-girlfriend-1
    靶机实战-vuluhub系列-Me-and-My-girlfriend-1
    |
    存储 安全 Ubuntu
    Vulnhub-Breach1.0
    Vulnhub-Breach1.0
    233 0
    |
    SQL 安全 Ubuntu
    Vulnhub-billub0x
    Vulnhub-billub0x
    162 0