CTF学习-Vulnhub 靶场之DOUBLETROUBLE

Vulnhub 靶场之DOUBLETROUBLE

提示：IP地址用的是复制内网IP，建议是设置自己虚拟网络C段地址。

前言

靶机地址：https://www.vulnhub.com/entry/doubletrouble-1,743/

kali攻击机ip：172.X.X.176
windows10攻击机IP:172.X.X.189
靶机 ip：172.X.X.186-187
工具:VMware Workstation Pro/Oracle VM VirtualBox

提示：以下是本篇文章正文内容，下面案例可供参考

一、信息收集

1.kali攻击机使用arp-scan -l可以看到靶机地址:
2.使用nmap对目标靶机扫描端口
发现22和80

80端口业务

使用的是qdPM9.1版本，该版本是有漏洞，但是没法直接利用。那就使用dirsearch-saomiao扫描一下目录，发现敏感目录uploads(无内容)；secret/ 有一张图片。


另存为图片，使用图片隐写工具查看内容，但是发现需要密码。

思路没错，用隐写爆破工具 stegseek 爆破一下：
该工具在github上下载:https://github.com/RickdeJager/stegseek

查看输出文件，得到一个邮箱和密码:

使用密码登陆80端口:

二、漏洞利用

获取shell

先找找上传点，在用户编辑中有头像上传功能，看是不是可以传shell，我的思路是传冰蝎码，方便后续操作。

上传成功:uploads查看shell。

---

三、提权

冰蝎连接成功，查看权限，可以利用的点是AWK

发现是以root权限运行的 awk，awk 是一种处理文本文件的语言的文本分析工具。可以进行提权（https://gtfobins.github.io/gtfobins/awk/）：
sudo awk ‘BEGIN {system("/bin/sh")}’ ；发现得到root权限。查看一下系统中权限：

目录下是一个系统文件包，使用python开http服务下载并导入靶机2:


四、靶机2
安全镜像，继续使用arp-scan -l查看IP地址，并使用nmap扫描靶机2端口。


开了22和80端口，访问一下80端口：

登入框架很简单，POST请求看是否存在注入点，使用burp抓包然后放入TXT中进行注入测试，sqlmap -r “test.txt”

易受基于时间的sql注入，爆下数据库：

sqlmap -r “test.txt” --dbs

继续看doubletrouble 数据库的表：
sqlmap -r “test.txt” -D doubletrouble --tables

发现 users 表，爆下表信息：
sqlmap -r “test.txt” -D doubletrouble -T users --dump

有了用户名和密码，利用SSH 22端口登入系统，但是只有clapton可以登入:

查看了第一个flag和系统版本，发现该版本是有脏牛漏洞；我们使用nano创建文件并编译:

这里是创建了一个密码为 root 的 root 用户 firefart。此外，它还将原始 /etc/passwd 文件备份为 /tmp/passwd.bak。一旦我们获得了用户，我们
就可以通过 SSH 进入它，切换到 firefart 用户。
su firefart

此时拿到第二个flag。
第二个方法拿ROOT权限和flag最快就是改系统root密码。