CTF学习-Vulnhub 靶场之DOUBLETROUBLE

Vulnhub 靶场之DOUBLETROUBLE

提示:IP地址用的是复制内网IP,建议是设置自己虚拟网络C段地址。

前言

靶机地址:https://www.vulnhub.com/entry/doubletrouble-1,743/

kali攻击机ip:172.X.X.176
windows10攻击机IP:172.X.X.189
靶机 ip:172.X.X.186-187
工具:VMware Workstation Pro/Oracle VM VirtualBox

提示:以下是本篇文章正文内容,下面案例可供参考

一、信息收集

1.kali攻击机使用arp-scan -l可以看到靶机地址:CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第1张图片
2.使用nmap对目标靶机扫描端口
发现22和80
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第2张图片
80端口业务
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第3张图片

使用的是qdPM9.1版本,该版本是有漏洞,但是没法直接利用。那就使用dirsearch-saomiao扫描一下目录,发现敏感目录uploads(无内容);secret/ 有一张图片。
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第4张图片
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第5张图片
另存为图片,使用图片隐写工具查看内容,但是发现需要密码。
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第6张图片
思路没错,用隐写爆破工具 stegseek 爆破一下:
该工具在github上下载:https://github.com/RickdeJager/stegseek
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第7张图片
查看输出文件,得到一个邮箱和密码:
在这里插入图片描述
使用密码登陆80端口:
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第8张图片

二、漏洞利用

获取shell

先找找上传点,在用户编辑中有头像上传功能,看是不是可以传shell,我的思路是传冰蝎码,方便后续操作。
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第9张图片
上传成功:uploads查看shell。
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第10张图片


三、提权

冰蝎连接成功,查看权限,可以利用的点是AWK
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第11张图片
发现是以root权限运行的 awk,awk 是一种处理文本文件的语言的文本分析工具。可以进行提权(https://gtfobins.github.io/gtfobins/awk/):
sudo awk ‘BEGIN {system("/bin/sh")}’ ;发现得到root权限。查看一下系统中权限:
在这里插入图片描述
目录下是一个系统文件包,使用python开http服务下载并导入靶机2:
在这里插入图片描述
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第12张图片
四、靶机2
安全镜像,继续使用arp-scan -l查看IP地址,并使用nmap扫描靶机2端口。
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第13张图片
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第14张图片
开了22和80端口,访问一下80端口:
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第15张图片
登入框架很简单,POST请求看是否存在注入点,使用burp抓包然后放入TXT中进行注入测试,sqlmap -r “test.txt”
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第16张图片
易受基于时间的sql注入,爆下数据库:

sqlmap -r “test.txt” --dbs
在这里插入图片描述
继续看doubletrouble 数据库的表:
sqlmap -r “test.txt” -D doubletrouble --tables
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第17张图片
发现 users 表,爆下表信息:
sqlmap -r “test.txt” -D doubletrouble -T users --dump
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第18张图片
有了用户名和密码,利用SSH 22端口登入系统,但是只有clapton可以登入:

CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第19张图片
查看了第一个flag和系统版本,发现该版本是有脏牛漏洞;我们使用nano创建文件并编译:
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第20张图片
这里是创建了一个密码为 root 的 root 用户 firefart。此外,它还将原始 /etc/passwd 文件备份为 /tmp/passwd.bak。一旦我们获得了用户,我们
就可以通过 SSH 进入它,切换到 firefart 用户。
su firefart
CTF学习-Vulnhub 靶场之DOUBLETROUBLE_第21张图片
此时拿到第二个flag。
第二个方法拿ROOT权限和flag最快就是改系统root密码。

你可能感兴趣的:(网络安全)