Vulnhub bulldog靶机渗透

配置

VM运行kali，桥接模式设置virtualbox。

vbox运行靶机，host-only网络。

信息搜集

nmap -sP 192.168.56.0/24 或者 arp-scan -l #主机发现
nmap -A 192.168.56.102 #信息扫描

打开网页，都是一些用处不大的信息

接下来，dirb配合bp扫描目录

浏览一下，发现http://192.168.56.102/dev/页面的信息比较多

以上大概意思就是彻底移除的php，不适用phpmyadmin和流行的cms。

而后查看源代码的话，能够看到邮箱和一些hash值

每一个md5拿去解密看看哪一个能解密 https://cmd5.com/
发现倒数第二个hash能够解成bulldog

倒数第一个也能够解出来bulldoglover

尝试使用用户名nick@bulldogindustries.com和sarah@bulldogindustries.com和对应的密码bulldog和bulldoglover登录，发现登录不了。
而后尝试使用nick和bulldog登录，发现能够登录。
进去以后发现没有权限。

可是想一想以前信息搜集搜集到了/dev路径，有个webshell看看可不能够用http://ip/dev/shell/

发现已经可使用了，那就直接先命令执行吧。
尝试一下管道符|、分号;、&执行多条命令绕过发现不行。

而后想到echo命令是容许执行的，那么echo一个反弹shell命令，而后用管道符给bash执行不就好了？(以前打靶机有遇到这种场景，就是有命令执行还击不过可是用system来执行系统命令nc等来反弹shell是不可行的，须要用echo输出而后再用bash执行)
测试了一下，这里nc不能用，可是bash能用。

提权

看一眼系统版本ubuntu16.04，再看看kernel版本，searchspliot下貌似都不对口。
看看sudo -l权限，不知道django的密码。
那就看看suid文件find / -type f -perm -u=s 2>dev/null # 用不了
看看/home/bulldogadmin的目录发现了不少隐藏文件。

进隐藏管理员目录看看

看到customPermissionApp应该是分配权限的一个程序，可是没有权限。（有内鬼，终止交易
虽然不能执行，可是咱们能看看文件的内容和字符串。strings customPerssionApp

这里最明显的就是看到了使用方法，认真看还看到了password字样(就在上一行，不当心没截到)，提取出来SUPERultimatePASSWORDyouCANTget
看看这是否是django或者bulldogadmin的密码。

果真是django的密码，且django的sudo权限。。。ALL。。。
看到程序的sudo su root咱们也直接sudo su root，成功成为root。

总结

本次靶机体会到了信息搜集的重要性，所谓信息搜集，先于漏洞利用且重于漏洞利用。 这里反弹shell的方法仍是要好好记住。