靶机DC-9

faithtian   ·   发表于 2020-08-30 19:20:09   ·   技术文章投稿区

0x00 靶机下载

靶机DC-9是DC系列的最后一个
https://www.vulnhub.com/entry/dc-9,412/

0x01 靶机探测

靶机和kali是安装同一个网段,但DHCP获取的ip不知道,所以用nmap探测存活主机
先查看一下网段

nmap -sP 192.168.24.0/24

经判断确定 192.168.24.131 为靶机

0x02 信息收集

端口信息
nmap -sV -sC 192.168.24.131

发现2个端口,22被过滤,还有一个80端口,访问80端口

目录信息

0x03 漏洞查找利用

看到一些用户信息

看到搜索框,尝试是否有sql注入

1’or 1=1#

1’or 1=2#,报错

可能有sql注入
尝试抓包用sqlmap跑

跑出了数据库

接着进行后面的步骤
staff数据库

users数据库

破解刚才的管理员账号admin的密码

登录成功

没有发现更多信息
但是看到一句话:file does not exist

猜测可能存在本地文件包含
尝试用../读取文件

尝试用burp爆破系统文件


找到一些文件

访问一下看看
/etc/motd


好像没什么用

这个knockd.conf是一种端口试探服务器工具。它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit)。telnet或Putty等客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中。
相当于就是它把ssh端口隐藏了起来,而这下面这段话是说要依次点击7469,8475,9842,才能打开22端口
可以看到之前过滤的22端口打开了

使用hydra爆破ssh密码
用刚才sql注入获得的账号密码保存为user.txt和pass.txt
hydra -L /root/桌面/user.txt -P /root/桌面/pass.txt ssh://192.168.24.131

得到三个账号和密码,尝试登录

在janitor找到一个文件

好像是一些密码,把这些密码加到之前的pass.txt再次爆破

发现多了一个账号密码

登录这个账号
发现可以免密执行

执行test,发现是python 文件

找到test.py


文件大意是
读取参数1的内容,然后将参数1的内容写入到参数2的内容中
在这里借鉴别人的思路,构造一个账户放入到/etc/passwd中,利用构造的账户登录,就有root权限了
先生成密码


按照/etc/passwd构造账号信息,存入/tmp/passwd

执行test

切换用户

可以看到已经拥有root权限
拿到flag

其实在这里还有一个存储型XSS漏洞


但这里没想到怎么利用

用户名金币积分时间理由
Track-聂风 60.00 0 2020-09-02 16:04:18 加油~

打赏我,让我更有动力~

0 Reply   |  Until 2020-8-30 | 583 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.