提示:IP地址用的是复制内网IP,建议是设置自己虚拟网络C段地址。
靶机地址:https://www.vulnhub.com/entry/doubletrouble-1,743/
kali攻击机ip:172.X.X.176
windows10攻击机IP:172.X.X.189
靶机 ip:172.X.X.186-187
工具:VMware Workstation Pro/Oracle VM VirtualBox
提示:以下是本篇文章正文内容,下面案例可供参考
1.kali攻击机使用arp-scan -l可以看到靶机地址:
2.使用nmap对目标靶机扫描端口
发现22和80
80端口业务
使用的是qdPM9.1版本,该版本是有漏洞,但是没法直接利用。那就使用dirsearch-saomiao扫描一下目录,发现敏感目录uploads(无内容);secret/ 有一张图片。
另存为图片,使用图片隐写工具查看内容,但是发现需要密码。
思路没错,用隐写爆破工具 stegseek 爆破一下:
该工具在github上下载:https://github.com/RickdeJager/stegseek
查看输出文件,得到一个邮箱和密码:
使用密码登陆80端口:
先找找上传点,在用户编辑中有头像上传功能,看是不是可以传shell,我的思路是传冰蝎码,方便后续操作。
上传成功:uploads查看shell。
冰蝎连接成功,查看权限,可以利用的点是AWK
发现是以root权限运行的 awk,awk 是一种处理文本文件的语言的文本分析工具。可以进行提权(https://gtfobins.github.io/gtfobins/awk/):
sudo awk ‘BEGIN {system("/bin/sh")}’ ;发现得到root权限。查看一下系统中权限:
目录下是一个系统文件包,使用python开http服务下载并导入靶机2:
四、靶机2
安全镜像,继续使用arp-scan -l查看IP地址,并使用nmap扫描靶机2端口。
开了22和80端口,访问一下80端口:
登入框架很简单,POST请求看是否存在注入点,使用burp抓包然后放入TXT中进行注入测试,sqlmap -r “test.txt”
易受基于时间的sql注入,爆下数据库:
sqlmap -r “test.txt” --dbs
继续看doubletrouble 数据库的表:
sqlmap -r “test.txt” -D doubletrouble --tables
发现 users 表,爆下表信息:
sqlmap -r “test.txt” -D doubletrouble -T users --dump
有了用户名和密码,利用SSH 22端口登入系统,但是只有clapton可以登入:
查看了第一个flag和系统版本,发现该版本是有脏牛漏洞;我们使用nano创建文件并编译:
这里是创建了一个密码为 root 的 root 用户 firefart。此外,它还将原始 /etc/passwd 文件备份为 /tmp/passwd.bak。一旦我们获得了用户,我们
就可以通过 SSH 进入它,切换到 firefart 用户。
su firefart
此时拿到第二个flag。
第二个方法拿ROOT权限和flag最快就是改系统root密码。