IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> vulnhub——DOUBLETROUBLE: 1 -> 正文阅读

[网络协议]vulnhub——DOUBLETROUBLE: 1

该靶场在vulnhub和HackMyVm中均可下载,但是后者可以提交我们找到的flag

靶场和攻击机均使用vmware打开,网卡配置为NAT模式

目录

DOUBLETROUBLE:1

IP和开放端口情况收集

Web探索与目录扫描

使用stegseek破解Steghide隐写图片

反弹shell

awk程序提权

下载DOUBLETROUBLE:2镜像

DOUBLETROUBLE:2

IP获取与端口扫描

关于post方式的sql注入

脏牛提权


DOUBLETROUBLE:1

IP和开放端口情况收集

一开始,自然是要找到靶场的IP

然后使用nmap扫描主机开放的端口

Web探索与目录扫描

先从80端口的http服务入手

发现直接就是一个登录表单,可以看到用户名是一个邮箱,登陆表单中的qdPM是什么还有待确认。搜索发现qdPM是一个免费的基于 Web 的项目管理工具,适合从事多个项目的小型团队。它是完全可配置的。您可以轻松管理项目、任务和人员。客户使用集成到任务管理中的票务系统进行交互。

暂时先放下,尝试收集更多信息,扫描一下目录

使用stegseek破解Steghide隐写图片

对扫描的目录逐一进行访问,有很多有意思的东西,但是站在出题者的角度,我觉得这道题最重要的可能是/secret目录,尝试访问,得到了一张图片,该图片的名字还是靶场的名字,这更加印证了我的想法

先在kali中下载该图片

然后使用stegseek对该图片进行解密

Stegseek是迄今为止全世界最快的Steghide破解器,该工具每秒能够处理数百万的密码。虽然是一款轻量级工具,但是其功能性十分强大。该工具作为原始Steghide项目的一个分支而构建,它的速度比其他破解器快上千倍。在该工具的帮助下,可以轻松从使用了Steghide隐写&加密的文件中提取出隐藏的数据。

使用rockyou.txt字典破解图片

然后打开output.txt即可获取用户名和密码

反弹shell

使用获取的用户信息登录。登陆成功后,在个人信息处可以上传头像

这次是在Online - Reverse Shell Generator 中获取的反弹shell

然后只需要将其上传即可,刚刚目录扫描中还有一个/uploads目录,访问该目录,点击users即可找到刚才上传的文件

在kali中开启监听,点击shell.php运行,即可发送shell至kali,查看自己的权限,并利用python获取交互式shell

awk程序提权

使用sudo -l发现可以不需要密码以root身份执行awk程序

GTFOBins网站中查找相关程序的提权方法

在kali中执行该语句,成功提权至root

下载DOUBLETROUBLE:2镜像

拿到root权限,第一件事自然是要寻找flag了,很久都没有找到,但是找到了一个ova镜像,这是要我们再打一个靶场?好像有点明白为什么这个靶场叫double trouble了

先不多说,把镜像下载下来才是第一步,查看靶场是否存在python3

然后利用python3开启一个简易http服务

然后在浏览器中将该镜像文件下载下来即可,之后在导入vmware中,在此,不再过多叙述

DOUBLETROUBLE:2

IP获取与端口扫描

一切准备就绪,开始第二个靶机的渗透,直接获取IP并扫描端口

关于post方式的sql注入

可以看到,依然开放了22和80,先从http入手

很简陋的表单,尝试用刚才获取的用户名和密码登录失败,该表单如此简陋,不会有sql注入吧,sqlmap简单跑一跑

发现uname是一个注入点,把还有什么好说的,继续暴库,暴表······

在此不再详细叙述过程,有兴趣可以参考以前的文章注入工具--sqlmap_Jim_vegetable的博客-CSDN博客_注入工具

sqlmap之POST注入与cookie注入_Jim_vegetable的博客-CSDN博客_sqlmapcookie注入

最终得到注入结果

脏牛提权

两组用户名密码都无法登陆表单,但不要忘了22端口还运行着ssh ,成功登录clapton

在主目录发现了user.txt

先保存下来,再看看其他东西,执行uname -a查看内核版本

可以使用脏牛提权

可以参考https://github.com/FireFart/dirtycow/blob/master/dirty.c

将源代码下载到靶机,靶场下载总是连接失败,因此我在kali中创建了文件dirty.c,并启动了http服务,让靶机直接下载kali中的dirty.c

然后编译该文件

gcc -pthread dirty.c -o dirty -lcrypt

最后执行,创建一个 root 用户 firefart,其密码为vegetable,此外,它还将原始 /etc/passwd 文件备份为 /tmp/passwd.bak

./dirty vegetable

最后,使用ssh利用用户名firefart和密码vegetable 进行登录,即可获得root权限

最后查看flag

一开始就说了,HackMyVm中也有这台机器,并且可以提交flag,可以把我们找到的user.txt和root.txt进行提交

好了,这篇writeup就到此为止了!!!over!

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-07-04 23:19:41  更:2022-07-04 23:21:09 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:25:55-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计