DC靶机系列：DC-9_dc9靶机

一、信息收集

1. 查询本机ip及目标靶机ip

攻击kali ip：192.168.56.104，靶机ip通过nmap或arp-scan -l查看

2. 收集靶机开放端口

输入nmap -sS -sV -T5 -A 192.168.56.118 #进行靶机端口信息收集

22端口被过滤了，80端口开启了，经过查看，没有其他的端口了

这边22端口被过滤，根据以往的经验，应该是什么策略，需要敲击某几个端口，将其敲开，这个思路先放着

3. 对应端口进行尝试

下面对80端口进行访问，在web端查看有用的信息

查看后发现，在search处有搜索框，在Manage处有登录框

二、Web渗透

搜索框可以考虑是否存在sql注入的情况存在，登录框考虑是否存在弱口令或sql注入的存在。

利用burpsuite抓包，将search的包复制保存下来，直接交给sqlmap，发现确实存在sql注入。

sqlmap -r 2.txt --dbs
sqlmap -r 2.txt -D Staff --tables
sqlmap -r 2.txt -D Staff -T Users --columns
sqlmap -r 2.txt -D Staff -T Users -C Username,Password --dump

用户admin/transorbital1

刚才还有一个users的数据库，去查看一下里面的内容，命令和之前的大同小异

将这些用户名和密码保存到本地，为后面爆破ssh做准备

利用之前的用户和密码登录网页后查看，发现

在点search的时候，后面的两个没了，再加上之前底下有file does not exist

应该是php的include在作怪，出现了文件包含漏洞，关于文件包含漏洞原理可以看之前的文章

果然，文件包含的路径：http://192.168.56.118/manage.php?file=../../../../etc/passwd，再回想起来之前22端口被过滤，考虑可能是需要敲震几个端口，将22端口敲开，这边正好可以查查看

http://192.168.56.118/manage.php?file=../../../../etc/knockd.conf

这边需要敲7469 8475 9842端口，使用knock

然后利用hydra对之前存的用户本和密码本进行ssh爆破

进行这几个用户的登陆切换，发现在janitor的目录下存在隐藏目录，底下还有个密码本文件

将这些密码追加到之前的密码本中再进行爆破，发现了个新用户

切换到fredf用户后，试试看有没有提权的地方，之前的用户都试过了，没得

进入这个文件夹下，通过查看文件的扩展名

这边是一个python的项目，查看test.py文件

这边可以看到当sys.argv的长度不等于3时运行if中语句，等于3时运行else中语句，sys.argv其实是一个列表，用[ ] 提取其中的元素，第一个元素 sys.argv[0] 是程序本身，后面才是一次输入的外部参数。

sys.argv 是获取运行python文件的时候命令行参数，且以list形式存储参数也就是说参数为第三个的时候，会将第二个参数写入第一个参数的后面

那就可以构造个新用户，然后利用这个python的执行文件将构造的新用户添加到/etc/passwd中，构造新用户需要用到openssl passwd -1 -salt xiaoli 12345

将其输入到/tmp/xxx 新建个文件，然后运行

最后su一下新添加的用户，即可获得root权限，提权成功

自此，DC系列第9个靶机渗透结束。该靶机存在SQL注入漏洞，文件包含漏洞，22端口过滤等知识，总体来说还算比较容易，可以巩固自己的渗透流程和基本操作。

每天学习一丢丢，进步一丢丢~