Vulnhub-靶机-DC: 9

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/dc-9,412/

nmap -n -p- -A 192.168.226.5 -o dc9.nmap

nmap扫描结果

访问web页面

可能存在SQL注入，直接将burpsuite抓包保存为dc9.seq 然后使用sqlmap -r参数跑一下，确认存在SQL注入漏洞，最终跑出数据库的一个admin账号和md5加密的值

sqlmap -r dc9.seq -D Staff -T Users -C UserID,Username,Password --dump-all --batch 

解密md5值

登录进去显示用户不存在

这里是要通过fuzz批量测试存在哪些配置文件，而且要猜测是否存LFI漏洞，爆破一段时间，确认存在/etc/knockd.conf

要使用knock进行敲击开启ssh端口

确认成功knock并开启了ssh端口，然后根据上面注入漏洞注入出来的用户名和密码使用hydra进行爆破ssh

 sqlmap -r dc9.seq -D users -T UserDetails -C id,password,firstname,lastname,reg_date,username --dump-all --batch

将注入出来的用户名和密码使用awk分割出来用户名username.txt和password.txt通过hydra进行暴力破解

cat userpass.txt | awk -F ',' '{print $4}' > username.txt
cat userpass.txt | awk -F ',' '{print $NF}' > password.txt

最终通过hydra破解出来如下：

使用上面的3个用户登录到目标靶机，最终通过用户janitor得到如下敏感信息

将上述得到的密码再次追加到上述破解的密码字典中，再次使用hydra进行暴力破解

确认多出了一个用户fredf，使用su切换过去，执行了下sudo -l发现可以同如下图所示进行提权

根据显示的test文件，执行了file命令确认是二进制可执行文件，执行之后发现是

find / -name "test.py" 2>/dev/null

代码大概意思就是执行了读取了第一个位置的文件，然后将读取的文件内容写入到第二个文件中，可以通过追加passwd文件进行提权

echo 'bmfx:$1$bmfx$HuKLopGkC8MwDIxBcpRnr/:0:0:root:/root:/bin/bash' >> passwd

切换root用户