Vulnhub靶场实战指南,

  Vulnhub靶场实战指南,

  本文介绍了目录目标机穿透过程获取ip端口扫描网站目录扫描图片隐写数据提取登录网站qdPM漏洞利用穿透过程对目标机2的ip地址进行获取端口扫描信息采集sqlmap获取帐号密码登录ssh、对

  目标飞机介绍

  下载地址:http://www.vulnhub.com/entry/doubletrouble-1,743/

  难度:简单

  描述:获取标志

  穿透得到的目标机ip是192.168.1.113。

  arp-scan -l

  扫描端口nmap-a-T4-P1-65535 192 . 168 . 1 . 113无人机已经打开了22号和80号端口。

  目录扫描首先扫描网站的特殊文件。

  dirb http://192.168.1.113 -X .txt,jpg,html,php,bak, php.bak,二进制-模拟转换(binary analogue convert的缩写)

  然后扫描网站目录。

  dirb http://192.168.1.113 -r

  图像隐写数据提取依次点击扫描文件。这个网站的主页是一个登录界面,但是我们没有用户名和密码的信息。我搜遍了所有的网站,只在这个网站上找到了一张奇怪的图片,http://192.168.1.113/secret/。

  尝试了exiftool没有信息,可能是隐写术。用stegseek破解图片。stegseek的Github网站:https://github.com/RickdeJager/stegseek.然后kali自带rockyou.txt,不过可能是rockyou.txt.gz的形式,需要解压。

  stegseek。/double trouble . jpg/usr/share/word lists/rock you . txt

  登录网站,输入我们从图片上破解的账号和密码,登录首页。

  QPM漏洞利用了qdPM 9.1的漏洞,我们发现了一个远程代码执行漏洞。https://www.exploit-db.com/exploits/50175,下载了剧本。这个脚本的回车有问题。你需要自己调整。然而,这个漏洞相当简单。其实用户的myAccount界面的图片栏是可以上传文件的,所以我们可以上传一个php反弹shell脚本。

  这里搞笑的是,不管你是运行脚本还是手动上传,网页和代码的反馈都会让你觉得是不是上传不成功。

  但其实都上传成功了。没想到他们上传成功了。我试了几次,以至于一打开http://192 . 168 . 1 . 113/uploads/users/,就看到一堆自己上传的文件…

  监听端口1234(你脚本中写的端口),然后点击上传的脚本获取shell。

  nc -lnvp 1234

  我们来看看当前用户可以使用的sudo权限。这里显示了当前用户可以执行awk命令而不需要密码。

  在awk上搜索权限,我们可以这样做:

  Em,没有旗帜,未解之谜。

  感谢评论区大佬们的提示。这里的根目录下有一个同名的无人机(我上次直接忽略了)。这应该是双重麻烦。

  无人机2的渗透过程下载这个无人机,在自己的环境中打开。

  python-M http . server 9000 wget 3358目标ip:9000/doubletrouble.ova ip地址获取目标ip为192.168.1.103

  端口扫描

  收集信息,打开无人机的http。在这里,让我们填写帐户名和密码。

  但是,我们不知道帐户名或密码。试着扫描网站目录,发现没有其他信息,只有这一个网站。

  Sqlmap拿不到账号的密码,我们现在连账号都没有。搜索网站后台账号密码获取,可以看到一个很棒的工具sqlmap。Sqlmap使用教程

  可以先获取当前数据库的名称:sqlmap-u http://192 . 168 . 1 . 103/index . PHP?ID=1-forms-current-db一路选Y就行了。您可以看到当前数据库的名称是doubletrouble。

  2.获取当前数据库的下表的名称:

  sqlmap-u http://192 . 168 . 1 . 103/index . PHP?id=1-forms-d doubletrouble-tables可以看到double trouble数据库中有一个表users。

  3.获取表中的列信息。

  sqlmap-u http://192 . 168 . 1 . 103/index . PHP?ID=1-forms-d double trouble-t users-columns可以看到表中有两项:密码和账号。

  4.获取表格的内容。

  sqlmap-u http://192 . 168 . 1 . 103/index . PHP?id=1-form-d double trouble-t users-dump然后我们得到帐号和密码。

  登录ssh,要求用这两个账号密码登录网站的权限,但是没有回应。我们直接登录ssh吧。克拉普顿是这两个账户中唯一可以成功登录的人。

  我们来看看系统版本:

  这里有一个脏牛漏洞,漏洞号CVE-2016-5195漏洞类型内核竞态漏洞危害本地赋能范围Linux kernel2.6.22 .该漏洞是Linux内核在处理写复制时内存子系统中的条件竞态漏洞,可以破坏私有只读内存映射。黑客可以利用该漏洞获得其他只读内存映射的写权限,并在获得低权限的本地用户后进一步获得root权限。

  他有许多poc,其中这个poc可以生成一个名为firefart,https://github.com/FireFart/dirtycow.的根用户

  我们将poc下载到无人机的/tmp目录,然后编译并执行它。

  然后根据提示,我们用firefart登录ssh,密码是root。

  一切都结束了。

郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。

留言与评论(共有 条评论)
   
验证码: