Bulldog:2靶机渗透

文章首发圈子社区:https://www.secquan.org/Notes/1068825 

前言

前两天做了一个靶机渗透题目,在此记录一下

靶机信息:

靶机名称

Bulldog:2

渗透步骤:

一、获取靶机IP

成功搭建靶机后,界面显示了ip地址:

Bulldog:2靶机渗透

但如果靶机没有显示ip,可以用nmap扫描网段得到ip。

二、浏览网站

网站的功能很简单,注册、登录以及浏览一些用户信息。简单点了点网站的功能,发现有登录和注册,但是当我点击注册的时候,界面显示不让注册。

Bulldog:2靶机渗透

网站有一个user界面,里面列出了9名用户,有用户名。

 Bulldog:2靶机渗透

这时候想到利用登陆界面结合这些用户名去爆破弱口令,先放着,继续信息收集......

 

三、扫描端口信息

扫描靶机端口,准备从开放的服务下手

 Bulldog:2靶机渗透

可是发现就开了一个80端口,啧啧啧,好吧,继续目录探测一波...

四、扫描目录信息

利用dirb工具扫描目录

Bulldog:2靶机渗透

两个链接。。。第一个404,第二个是一个图标,看起来也没有得到什么有价值的东西。

五、爆破用户名

这时候就有点懵了,感觉无处下手啊,但是幸好浏览网页的时候开着F12,看到一个连接http://192.168.1.102/users/getUsers?limit=9

Bulldog:2靶机渗透

点进去

Bulldog:2靶机渗透

9个用户信息,limit的值也正好是9,这就不免想改一改limit的值了,直接改成1000000,再改1000001的时候没有增加的用户信息,这里应该是所有用户的信息了。

Bulldog:2靶机渗透

接下来写个脚本把username全都提取出来

# -*- coding:utf-8 -*-
import re
f = open('..\\Onames.txt','r')
s = f.readline()
f.close()
name1 = re.findall('username(.+?),',s)
name1 = "".join(name1)
name2 = re.findall(':\"(.+?)\"',name1)
f1 = open('..\\names.txt','w')
for name in name2:
    f1.write(name+'\n')
f1.close()

 接下来就用bp进行爆破了,爆破出几个用户名密码来

Bulldog:2靶机渗透

 用其中一个进行登录,但是登录之后还是感觉没什么用

Bulldog:2靶机渗透

这时候看了其他大佬的wp,才知道登录的时候还发生了一次JWT,关于JWT放一个链接:http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

六、修改token提权

利用bp获得token,下面靶机的ip都变成了192.168.1.101,因为文章是分两次记录的,靶机的ip发生了变化。

Bulldog:2靶机渗透

token信息解密

Bulldog:2靶机渗透

解密之后发现重点是auth_level这个字段值,但是应该把它改成什么呢,之前的信息收集没有收集到任何有用的线索,只能看访问到的源码了,

幸运的是在其中一个js文件中找到了这个关键字

Bulldog:2靶机渗透

试试改成master_admin_user进行发包

Bulldog:2靶机渗透

返回的结果:

Bulldog:2靶机渗透

发现我们已经是admin了,下一步就该考虑怎么getshell了

七、getshell

Bulldog:2靶机渗透

 在getshell这想了很久都没什么思路,再次拜读了大佬的wp后,才知道password这有命令执行

抓包

Bulldog:2靶机渗透

利用nc反弹shell

nc -vlp 8000

 Bulldog:2靶机渗透

Bulldog:2靶机渗透

产生tty shell

python -c 'import pty;pty.spawn("/bin/bash")'

Bulldog:2靶机渗透

接下来就是创建root用户,方法有很多,可以用openssl也可以用脚本perl、php等等...

再su提权之后然后就可以看到root目录下的flag文件了

Bulldog:2靶机渗透

八、总结

        对于这次的渗透靶机,个人感觉重点在于前期的信息收集,虽然端口和目录都没有突破,但是用户名有了大用处,再到后面的getshell是由于靶场源码暴露在了github上,经过审计得知password处的命令执行,所以前期的信息收集很重要。

上一篇:上传漏洞总结-upload-labs


下一篇:代码审计 | 记一次盾灵系统审计从后台到Getshell