首页 > 其他分享 >靶场实战3-dc9

靶场实战3-dc9

时间:2023-01-08 10:35:08浏览次数:70  
标签:实战 .. passwd 端口 etc ssh dc9 test 靶场

本文知识交流学习心得,如果被拿去做违法乱纪的事情,请自行负责,与作者无关

 

一.信息收集

 

直接在vmware里面打开dc9的ova文件就可以了,选择NAT模式

 

kali机IP:192.168.115.129

 

先主机发现

 

 

 

 

再端口扫描

 

 

 

 

访问80端口

 

 

 

 

目录扫描一下(dirb)

 

 

 

 

nikto

 

 

 

 

然后就是有2个地方

 

 

 

 

这个地方是存在sql注入的 ,输入 ' or 1=1 --+会展示所有人员的信息

 

请求是post请求,字段名字为search

 

 

 

 

那就不浪费时间,直接用sqlmap了,先看数据库

 

 

 

 

 

 

 

看看users表

 

 

 

 

 

再看表

 

 

 

 

 

看到有username和password字段

 

把这两个值保存到一个文件里面

 

 

爆破的方式有很多,这里用wfuzz来

 

 

 

通过过滤来得到正确的

 

 

啥都没有,可能字典没有一个正确的

 

那就看看另外一个数据库 (Staff)

 

它有这2张表

 

 

看看Users,这里是自带Hash解密的

 

 

 

拿去登录一下,网站的后台

 

admin:transorbital1

 

成功登录

 

 

 

 

然后在Manage下面看到了一个提示,File does not exist

 

可能有文件包含漏洞

 

 

 

 

格式一般为 http://192.168.115.134/manage.php?参数1=参数2

 

 

加入条件过滤,发现啥也没有,可能是字典出了问题,也可能是后端的返回正确和错误都是一样的

 

 

 

 

这里把最后的参数改一改 FUZZ = index.php改一改,改成这个操作系统上一定存在的/etc/passwd,并且用绝对路径去访问

 

../../../../../../etc/passwd

 

 

 

 

得到参数的名字为file

 

 

 

 

这些用户原来是用来登录操作系统的

 

 

 

现在用Hydra来爆破ssh

 

hydra -L name -P password 192.168.115.134 ssh

 

 

22号端口,连接不上

 

可能22号端口只是伪装的,不是真正的ssh端口,把ssh端口隐藏起来了,也有可能拿来全部爆破的用户名和密码不允许通过ssh协议登录

 

Linux上有一个knockd服务,就是用来隐藏端口的

 

/etc/knockd.conf文件,就是来配置这个的,显示为filter状态

 

 

 

 

如果想访问22端口,必须先依次访问 7469、8475、9842才可以

 

如果想隐藏起来,就依次访问9842、8475、7469就能隐藏起来

 

利用nmap依次访问这三个端口后,发现22端口打开了

 

 

 

 

装比一点的,可以用for循环来依次打开

 

 

 

 

然后开始爆破

 

 

 

我只找到了一个 janitor:Ilovepeepee

 

 

 

 

在kali 利用 ssh [email protected] 再输入密码就可以连接了

 

 

 

 

二.权限提升

 

现在,又是一个熟悉的场景,一个普通用户,如何提权为root用户?

 

1.找敏感文件,/etc/passwd,/etc/shadow

 

2.找操作系统漏洞(内核漏洞)

 

3.sudo -l 看看自己有哪些超级管理员权限

 

4.看看history

 

 

 

 

发现了一个目录

 

 

 

发现敏感文件,里面是密码,通过数据库知道,有三个是已知的密码,有三个是未知的密码,加入字典,再次爆破

 

 

 

 

这次一共爆了4个,其实第一次是爆了3个的,第四个才是刚刚找出来的 fredf:B4-Tru3-001

 

 

 

 

 

然后输入 sudo -l 发现前面三个用户,啥都没有,只有刚刚找的用户有

 

 

 

 

进入/opt/devstuff/dist/test,然后执行./test

 

 

使用方法 ​​test.py​​ 参数read 参数append

 

查找一个这个test.py

 

find / -name "​​test.py​​" 2>/dev/null

 

 

 

 

 

 

 

这里用/etc/passwd添加用户提权

 

root用户的gid和uid都是0

 

先生成密码,hash+盐值

 

 

然后模仿/etc/passwd里面

 

admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash

 

然后往tmp目录里面写入

 

echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd

 

 

 

 

然后执行test.py

 

sudo ./test /tmp/passwd /etc/passwd

 

 

 

 

然后登录试试

 

 

提权成功!!!

 

最后进入 /root,得到flag

 

 

 

 

标签:实战,..,passwd,端口,etc,ssh,dc9,test,靶场
From: https://www.cnblogs.com/reweber/p/17034174.html

相关文章