vulnhub——DOUBLETROUBLE: 1

该靶场在vulnhub和HackMyVm中均可下载，但是后者可以提交我们找到的flag

靶场和攻击机均使用vmware打开，网卡配置为NAT模式

目录

DOUBLETROUBLE:1

IP和开放端口情况收集

Web探索与目录扫描

使用stegseek破解Steghide隐写图片

反弹shell

awk程序提权

下载DOUBLETROUBLE:2镜像

DOUBLETROUBLE:2

IP获取与端口扫描

关于post方式的sql注入

脏牛提权

---

DOUBLETROUBLE:1

IP和开放端口情况收集

一开始，自然是要找到靶场的IP

然后使用nmap扫描主机开放的端口

Web探索与目录扫描

先从80端口的http服务入手

发现直接就是一个登录表单，可以看到用户名是一个邮箱，登陆表单中的qdPM是什么还有待确认。搜索发现qdPM是一个免费的基于 Web 的项目管理工具，适合从事多个项目的小型团队。它是完全可配置的。您可以轻松管理项目、任务和人员。客户使用集成到任务管理中的票务系统进行交互。

暂时先放下，尝试收集更多信息，扫描一下目录

使用stegseek破解Steghide隐写图片

对扫描的目录逐一进行访问，有很多有意思的东西，但是站在出题者的角度，我觉得这道题最重要的可能是/secret目录，尝试访问，得到了一张图片，该图片的名字还是靶场的名字，这更加印证了我的想法

先在kali中下载该图片

然后使用stegseek对该图片进行解密

Stegseek是迄今为止全世界最快的Steghide破解器，该工具每秒能够处理数百万的密码。虽然是一款轻量级工具，但是其功能性十分强大。该工具作为原始Steghide项目的一个分支而构建，它的速度比其他破解器快上千倍。在该工具的帮助下，可以轻松从使用了Steghide隐写&加密的文件中提取出隐藏的数据。

使用rockyou.txt字典破解图片

然后打开output.txt即可获取用户名和密码

反弹shell

使用获取的用户信息登录。登陆成功后，在个人信息处可以上传头像

这次是在Online - Reverse Shell Generator 中获取的反弹shell

然后只需要将其上传即可，刚刚目录扫描中还有一个/uploads目录，访问该目录，点击users即可找到刚才上传的文件

在kali中开启监听，点击shell.php运行，即可发送shell至kali，查看自己的权限，并利用python获取交互式shell

awk程序提权

使用sudo -l发现可以不需要密码以root身份执行awk程序

在GTFOBins网站中查找相关程序的提权方法

在kali中执行该语句，成功提权至root

下载DOUBLETROUBLE:2镜像

拿到root权限，第一件事自然是要寻找flag了，很久都没有找到，但是找到了一个ova镜像，这是要我们再打一个靶场？好像有点明白为什么这个靶场叫double trouble了

先不多说，把镜像下载下来才是第一步，查看靶场是否存在python3

然后利用python3开启一个简易http服务

然后在浏览器中将该镜像文件下载下来即可，之后在导入vmware中，在此，不再过多叙述

DOUBLETROUBLE:2

IP获取与端口扫描

一切准备就绪，开始第二个靶机的渗透，直接获取IP并扫描端口

关于post方式的sql注入

可以看到，依然开放了22和80，先从http入手

很简陋的表单，尝试用刚才获取的用户名和密码登录失败，该表单如此简陋，不会有sql注入吧，sqlmap简单跑一跑

发现uname是一个注入点，把还有什么好说的，继续暴库，暴表······

在此不再详细叙述过程，有兴趣可以参考以前的文章注入工具--sqlmap_Jim_vegetable的博客-CSDN博客_注入工具

sqlmap之POST注入与cookie注入_Jim_vegetable的博客-CSDN博客_sqlmapcookie注入

最终得到注入结果

脏牛提权

两组用户名密码都无法登陆表单，但不要忘了22端口还运行着ssh ，成功登录clapton

在主目录发现了user.txt

先保存下来，再看看其他东西，执行uname -a查看内核版本

可以使用脏牛提权

可以参考https://github.com/FireFart/dirtycow/blob/master/dirty.c

将源代码下载到靶机，靶场下载总是连接失败，因此我在kali中创建了文件dirty.c，并启动了http服务，让靶机直接下载kali中的dirty.c

然后编译该文件

gcc -pthread dirty.c -o dirty -lcrypt

最后执行，创建一个 root 用户 firefart，其密码为vegetable，此外，它还将原始 /etc/passwd 文件备份为 /tmp/passwd.bak

./dirty vegetable

最后，使用ssh利用用户名firefart和密码vegetable 进行登录，即可获得root权限

最后查看flag

一开始就说了，HackMyVm中也有这台机器，并且可以提交flag，可以把我们找到的user.txt和root.txt进行提交

好了，这篇writeup就到此为止了！！！over！