Vulnhub bulldog靶機滲透

配置

VM運行kali，橋接模式設置virtualbox。

vbox運行靶機，host-only網絡。

信息蒐集

nmap -sP 192.168.56.0/24 或者 arp-scan -l #主機發現
nmap -A 192.168.56.102 #信息掃描

打開網頁，都是一些用處不大的信息

接下來，dirb配合bp掃描目錄

瀏覽一下，發現http://192.168.56.102/dev/頁面的信息比較多

以上大概意思就是徹底移除的php，不適用phpmyadmin和流行的cms。

而後查看源代碼的話，能夠看到郵箱和一些hash值

每一個md5拿去解密看看哪一個能解密 https://cmd5.com/
發現倒數第二個hash能夠解成bulldog

倒數第一個也能夠解出來bulldoglover

嘗試使用用戶名nick@bulldogindustries.com和sarah@bulldogindustries.com和對應的密碼bulldog和bulldoglover登錄，發現登錄不了。
而後嘗試使用nick和bulldog登錄，發現能夠登錄。
進去以後發現沒有權限。

可是想一想以前信息蒐集蒐集到了/dev路徑，有個webshell看看可不能夠用http://ip/dev/shell/

發現已經可使用了，那就直接先命令執行吧。
嘗試一下管道符|、分號;、&執行多條命令繞過發現不行。

而後想到echo命令是容許執行的，那麼echo一個反彈shell命令，而後用管道符給bash執行不就好了？(以前打靶機有遇到這種場景，就是有命令執行還擊不過可是用system來執行系統命令nc等來反彈shell是不可行的，須要用echo輸出而後再用bash執行)
測試了一下，這裏nc不能用，可是bash能用。

提權

看一眼系統版本ubuntu16.04，再看看kernel版本，searchspliot下貌似都不對口。
看看sudo -l權限，不知道django的密碼。
那就看看suid文件find / -type f -perm -u=s 2>dev/null # 用不了
看看/home/bulldogadmin的目錄發現了不少隱藏文件。

進隱藏管理員目錄看看

看到customPermissionApp應該是分配權限的一個程序，可是沒有權限。（有內鬼，終止交易
雖然不能執行，可是咱們能看看文件的內容和字符串。strings customPerssionApp

這裏最明顯的就是看到了使用方法，認真看還看到了password字樣(就在上一行，不當心沒截到)，提取出來SUPERultimatePASSWORDyouCANTget
看看這是否是django或者bulldogadmin的密碼。

果真是django的密碼，且django的sudo權限。。。ALL。。。
看到程序的sudo su root咱們也直接sudo su root，成功成爲root。

總結

本次靶機體會到了信息蒐集的重要性，所謂信息蒐集，先於漏洞利用且重於漏洞利用。 這裏反彈shell的方法仍是要好好記住。