Vulnhub bulldog靶机渗透

配置

VM运行kali,桥接模式设置virtualbox。
Vulnhub bulldog靶机渗透_第1张图片
vbox运行靶机,host-only网络。
Vulnhub bulldog靶机渗透_第2张图片

信息搜集

nmap -sP 192.168.56.0/24 或者 arp-scan -l #主机发现
nmap -A 192.168.56.102 #信息扫描
Vulnhub bulldog靶机渗透_第3张图片

打开网页,都是一些用处不大的信息
Vulnhub bulldog靶机渗透_第4张图片

接下来,dirb配合bp扫描目录
Vulnhub bulldog靶机渗透_第5张图片
Vulnhub bulldog靶机渗透_第6张图片

浏览一下,发现http://192.168.56.102/dev/页面的信息比较多

以上大概意思就是完全移除的php,不适用phpmyadmin和流行的cms。

然后查看源代码的话,可以看到邮箱和一些hash值
Vulnhub bulldog靶机渗透_第7张图片

每个md5拿去解密看看哪个能解密 https://cmd5.com/
发现倒数第二个hash可以解成bulldog
Vulnhub bulldog靶机渗透_第8张图片

倒数第一个也可以解出来bulldoglover
Vulnhub bulldog靶机渗透_第9张图片

尝试使用用户名[email protected][email protected]和对应的密码bulldogbulldoglover登陆,发现登陆不了。
然后尝试使用nick和bulldog登陆,发现可以登陆。
进去之后发现没有权限。
Vulnhub bulldog靶机渗透_第10张图片

但是想想之前信息搜集搜集到了/dev路径,有个webshell看看可不可以用http://ip/dev/shell/
Vulnhub bulldog靶机渗透_第11张图片

发现已经可以使用了,那就直接先命令执行吧。
尝试一下管道符|、分号;、&执行多条命令绕过发现不行。
Vulnhub bulldog靶机渗透_第12张图片

然后想到echo命令是允许执行的,那么echo一个反弹shell命令,然后用管道符给bash执行不就行了?(之前打靶机有遇到这种场景,就是有命令执行还击不过但是用system来执行系统命令nc等来反弹shell是不可行的,需要用echo输出然后再用bash执行)
测试了一下,这里nc不能用,但是bash能用。

提权

看一眼系统版本ubuntu16.04,再看看kernel版本,searchspliot下貌似都不对口。
看看sudo -l权限,不知道django的密码。
那就看看suid文件find / -type f -perm -u=s 2>dev/null # 用不了
看看/home/bulldogadmin的目录发现了很多隐藏文件。
Vulnhub bulldog靶机渗透_第13张图片

进隐藏管理员目录看看
Vulnhub bulldog靶机渗透_第14张图片

看到customPermissionApp应该是分配权限的一个程序,但是没有权限。(有内鬼,终止交易
虽然不能执行,但是我们能看看文件的内容和字符串。strings customPerssionApp
Vulnhub bulldog靶机渗透_第15张图片

这里最明显的就是看到了使用方法,认真看还看到了password字样(就在上一行,不小心没截到),提取出来SUPERultimatePASSWORDyouCANTget
看看这是不是django或者bulldogadmin的密码。
Vulnhub bulldog靶机渗透_第16张图片

果然是django的密码,且django的sudo权限。。。ALL。。。
看到程序的sudo su root我们也直接sudo su root,成功成为root。
Vulnhub bulldog靶机渗透_第17张图片

总结

本次靶机体会到了信息搜集的重要性,所谓信息搜集,先于漏洞利用且重于漏洞利用。
这里反弹shell的方法还是要好好记住。

你可能感兴趣的:(Vulnhub bulldog靶机渗透)