Vulnhub靶场实战指南,

　　本文介绍了目录目标机穿透过程获取ip端口扫描网站目录扫描图片隐写数据提取登录网站qdPM漏洞利用穿透过程对目标机2的ip地址进行获取端口扫描信息采集sqlmap获取帐号密码登录ssh、对

　　目标飞机介绍

　　下载地址：http://www.vulnhub.com/entry/doubletrouble-1,743/

　　难度：简单

　　描述：获取标志

　　穿透得到的目标机ip是192.168.1.113。

　　arp-scan -l

　　扫描端口nmap-a-T4-P1-65535 192 . 168 . 1 . 113无人机已经打开了22号和80号端口。

　　目录扫描首先扫描网站的特殊文件。

　　dirb http://192.168.1.113 -X .txt，jpg，html，php，bak， php.bak，二进制-模拟转换（binary analogue convert的缩写）

　　然后扫描网站目录。

　　dirb http://192.168.1.113 -r

　　图像隐写数据提取依次点击扫描文件。这个网站的主页是一个登录界面，但是我们没有用户名和密码的信息。我搜遍了所有的网站，只在这个网站上找到了一张奇怪的图片，http://192.168.1.113/secret/。

　　尝试了exiftool没有信息，可能是隐写术。用stegseek破解图片。stegseek的Github网站：https://github.com/RickdeJager/stegseek.然后kali自带rockyou.txt，不过可能是rockyou.txt.gz的形式，需要解压。

　　stegseek。/double trouble . jpg/usr/share/word lists/rock you . txt

　　登录网站，输入我们从图片上破解的账号和密码，登录首页。

　　QPM漏洞利用了qdPM 9.1的漏洞，我们发现了一个远程代码执行漏洞。https://www.exploit-db.com/exploits/50175,下载了剧本。这个脚本的回车有问题。你需要自己调整。然而，这个漏洞相当简单。其实用户的myAccount界面的图片栏是可以上传文件的，所以我们可以上传一个php反弹shell脚本。

　　这里搞笑的是，不管你是运行脚本还是手动上传，网页和代码的反馈都会让你觉得是不是上传不成功。

　　但其实都上传成功了。没想到他们上传成功了。我试了几次，以至于一打开http://192 . 168 . 1 . 113/uploads/users/，就看到一堆自己上传的文件…

　　监听端口1234(你脚本中写的端口)，然后点击上传的脚本获取shell。

　　nc -lnvp 1234

　　我们来看看当前用户可以使用的sudo权限。这里显示了当前用户可以执行awk命令而不需要密码。

　　在awk上搜索权限，我们可以这样做：

　　Em，没有旗帜，未解之谜。

　　感谢评论区大佬们的提示。这里的根目录下有一个同名的无人机(我上次直接忽略了)。这应该是双重麻烦。

　　无人机2的渗透过程下载这个无人机，在自己的环境中打开。

　　python-M http . server 9000 wget 3358目标ip:9000/doubletrouble.ova ip地址获取目标ip为192.168.1.103

　　端口扫描

　　收集信息，打开无人机的http。在这里，让我们填写帐户名和密码。

　　但是，我们不知道帐户名或密码。试着扫描网站目录，发现没有其他信息，只有这一个网站。

　　Sqlmap拿不到账号的密码，我们现在连账号都没有。搜索网站后台账号密码获取，可以看到一个很棒的工具sqlmap。Sqlmap使用教程

　　可以先获取当前数据库的名称：sqlmap-u http://192 . 168 . 1 . 103/index . PHP？ID=1-forms-current-db一路选Y就行了。您可以看到当前数据库的名称是doubletrouble。

　　2.获取当前数据库的下表的名称：

　　sqlmap-u http://192 . 168 . 1 . 103/index . PHP？id=1-forms-d doubletrouble-tables可以看到double trouble数据库中有一个表users。

　　3.获取表中的列信息。

　　sqlmap-u http://192 . 168 . 1 . 103/index . PHP？ID=1-forms-d double trouble-t users-columns可以看到表中有两项：密码和账号。

　　4.获取表格的内容。

　　sqlmap-u http://192 . 168 . 1 . 103/index . PHP？id=1-form-d double trouble-t users-dump然后我们得到帐号和密码。

　　登录ssh，要求用这两个账号密码登录网站的权限，但是没有回应。我们直接登录ssh吧。克拉普顿是这两个账户中唯一可以成功登录的人。

　　我们来看看系统版本：

　　这里有一个脏牛漏洞，漏洞号CVE-2016-5195漏洞类型内核竞态漏洞危害本地赋能范围Linux kernel2.6.22 .该漏洞是Linux内核在处理写复制时内存子系统中的条件竞态漏洞，可以破坏私有只读内存映射。黑客可以利用该漏洞获得其他只读内存映射的写权限，并在获得低权限的本地用户后进一步获得root权限。

　　他有许多poc，其中这个poc可以生成一个名为firefart，https://github.com/FireFart/dirtycow.的根用户

　　我们将poc下载到无人机的/tmp目录，然后编译并执行它。

　　然后根据提示，我们用firefart登录ssh，密码是root。

　　一切都结束了。

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。