攻防靶场(56)：我敲门你要开哦 DC-9

1. 侦查

1.1 收集目标网络信息：IP地址

靶机启动后，没有提供IP地址。由于Kali和靶机在同一个C段，可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH（filtered）、80/HTTP。

1.3 搜索目标网站

访问80/HTTP服务，在display.php页面获得用户名信息，后面发现用不上。

/search.php页面是查询接口。

/manage.php页面是登录接口。

2. 初始访问

2.1 利用面向公众的应用

/search.php页面存在SQLi漏洞。

数据库中有Staff库和users库。

users库的UserDetails表中有17个帐号密码。

Staff库的Users表中有admin用户的帐号密码。

使用admin用户的帐号密码，在/manage.php页面成功登录后台。

2.2 利用面向公众的应用

后台的/manage.php页面和addrecord.php页面，疑似存在文件包含漏洞。

爆破文件包含的参数，成功获得参数file。

爆破操作系统中的文件，发现端口敲门机制的配置文件。

在配置文件中发现22/SSH服务的开门和关门方法。

按照开门方法，成功获得22/SSH服务的访问权限。

2.3 有效账户：本地账户

使用SQLi漏洞发现的17个帐号密码，尝试登录22/SSH服务，获得chandlerb、joeyt、janitor的用户权限。

3. 凭据访问

3.1 不安全的凭据：文件中的凭据

使用janitor的用户权限，在家目录中发现一个密码本。

使用密码本爆破/etc/passwd中，具有登录权限的用户，获得fredf用户权限。

4. 权限提升

4.1 滥用特权控制机制：Sudo和Sudo缓存

fredf用户，能以root用户的权限，执行/opt/devstuff/dist/test/test命令。

发现该命令源代码的文件名称，搜索获得源代码。审计代码发现其功能是，将参数read的文件内容，附加到参数append的文件后面。

创建恶意配置文件，能使fredf用户以任意用户的权限执行任意命令，并附加到/etc/sudoers配置文件中。

fredf用户，以root用户的权限执行返回shell的命令，从而获得root用户权限。

4.2 利用漏洞提权：Sudo程序

该靶机是在2020年制作完成，而该漏洞是2021年才披露，纯属靶机作者意料之外。

使用任意用户的权限（chandlerb、joeyt、janitor、fredf），执行linpeas程序，发现Sudo程序存在CVE-2021-3156提权漏洞。

下载并执行EXP，获得root用户权限。