10个关键步骤：攻克OSCP-DC9靶场的最佳攻防策略

一、环境搭建

命令：nmap -sn 192.168.36.0/24

2、可以发现192.168.36.134的靶机，利用nmap去探测靶机的端口开放情况、服务情况、以及系统版本，可以看到80和22端口开着，但是22端口显示filtered，被拦截了

3、尝试去访问80端口，可以看到一个web界面

4、点击search可以看到有个文本框，可以提交数据

5、抓包发现是post提交数据，放入sqlmap跑一下

6、sqlmap跑出了注入点，接着就是一把梭，找账号密码

sqlmap -r test.txt -D Staff --tables

sqlmap -r test.txt -D Staff -T Users --columns

sqlmap -r test.txt -D Staff -T Users -C Username,Password --dump

7、登录可以看到看到显示File does not exist

8、也许这边有文件包含，尝试一下，这边是linunx系统，尝试对etc/passwd进行包含，发现可以包含成功

9、接着对文件包含进行利用，从网上查到这边存在一种ssh的隐藏技术，叫做knockd服务，首先来简单介绍一下knockd服务：当你的一个端口不想对外开放时可以通过knockd将它关闭，这样别人就无法直接访问这个端口。如果自己想访问这个端口，那么必须先按顺序访问指定的端口，并且这几步操作必须在一定时间内完成。当你在一定之间内按顺序访问了指定端口后，被关闭的端口就会对你开放一段时间。更详细的内容可以参考：https://www.cnblogs.com/rongfengliang/p/10904061.html，保护ssh的三把锁。

这个服务会在etc文件下生成一个knockd.conf的文件，里面记载着三把锁是哪三个的端口，这里对此文件进行包含

10、按顺序访问这三个端口，这时候ssh就可以使用了

11、那么这边还存一个问题，ssh的账号密码从哪来呢，这时候想起来数据库中还有一个表，查看那个表可以得到一系列的用户名和密码

12、将用户名和密码分别保存两个txt文本中，利用九头蛇进行交叉爆破，爆破出了一个账号密码是可以的

13、利用此账号直接登录，翻了下，发现权限太低了，但是找到了一个隐藏的密码本

14、查看密码本，其中还有一些密码，添加进刚才的passwd的txt文本，再进行一次九头蛇的交叉爆破

15、发现有新的账号密码被爆破出来了，利用fredf这个账号进行登录

17、先看看这个账号具有哪些root的操作权限，可以看到这个test是一个可操作的root权限文件

18、进入这个test文件看下是什么内容，执行一下发现显示是python的文件

19、再翻翻这个文件夹，找到了这个test的源码，在devstuff文件夹下

20、可以看到这个py代码的意思是，将等会输入的参数1的内容添加进参数2中，再结合这个test的执行文件是root权限，可以想到，利用这个test将账户添加进etc/passwd文件中去

但是这边有2个问题，(1)passwd中的每个账户记录是什么意思

(2)passwd中密码是用加密方式存储的，我们怎么加密再添加进去

解决这两个问题，那么就可以直接加个root权限的账户进去

21、首先我们看下etc/passwd文件格式，以root为例

字段2：密码占位符，x代表有密码，也可以直接填入密码的密文。

字段3：用户的uid，如果一个用户uid为0则表示该用户超级管理员。

字段4：用户的gid，也就是所属用户组的id。

22、接下来是处理加密的问题，这里参考一篇文章https://blog.csdn.net/jiajiren11/article/details/80376371

第一个admin是账号，第二个123456是密码。

23、那么两个问题解决了，现在就是将账户加入passwd文件里了，首先确定好要加入的字段

echo 'dc:$1$dc$5uDk4oYnRiBs0fFGlcRwy.:0:0:root:/bin/bash' >> /tmp/dc

先将一个字段添加到文件内，再利用test将其添加进etc/passwd

24、这边再文件包含下etc/passwd看下是否添加成功，可以看到这边以及添加成功

25、这时候直接su dc，转移到我们刚添加的账户，可以看到是root权限，成功