一、環境搭建
1、官網下載連接:https://www.vulnhub.com/entry/dc-9,412/
2、下載之后,使用Oracle VM VirtualBox導入靶場環境
3、為了正常練習,將靶場的網卡模式設置為橋接模式,啟動即可
二、靶場攻略
1、使用命令:nmap -sP --min-hostgroup 1024 --min-parallelism 1024 10.10.114.0/24,快速探測存活主機,找到靶場ip
2、使用命令:nmap -A -p- 10.10.114.44,探測開啟的服務,尋找突破口,發現啟動了80端口,22端口流量被過濾沒有探測到信息
3、訪問80端口,發現網站存在search搜索界面,
在搜索框輸入1' or 1=1#,返回所有數據,說明存在注入點,得到數據庫中所有的用戶名
使用Brupsuite抓取數據包后,用sqlmap進行注入
使用命令:sqlmap -r /root/Downloads/sql.txt -D users -T UserDetails --dump,將數據庫賬戶文件進行拖庫,得到賬號密碼
在另一個數據庫中,得到admin的賬號密碼
4、使用admin賬戶登錄之后,登錄首頁提示找不到文件,懷疑存在文件讀取漏洞
在manage的url后,接入file參數,順利讀取到/etc/passwd文件
5、因為nmap掃描到有22端口,但是流量都被過濾了,懷疑有knockd服務
knockd服務,即端口敲門服務,該服務通過動態的添加iptables規則來隱藏系統開啟的服務,使用自定義的一系列序列號來“敲門”,使系統開啟需要訪問的服務端口,才能對外訪問。不使用時,再使用自定義的序列號來“關門”,將端口關閉,不對外監聽。進一步提升了服務和系統的安全性。一般配置文件在/etc/knockd.conf中,所以嘗試讀取一下文件,確實存在該配置
根據配置文件,參考鏈接:https://www.cnblogs.com/wsjhk/p/5508051.html,依次敲門7469 8475 9842就可以開門,所以進行敲門
nmap -p 7469 10.10.114.44
nmap -p 8475 10.10.114.44
nmap -p 9842 10.10.114.44
依次訪問之后,重新掃22端口,發現ssh服務已經開啟,可以訪問
使用之前sql注入得到的賬號密碼進行爆破,發現了登錄ssh的賬號密碼
因為之前爆破出的兩個登錄之后沒有任何權限,重新指定用戶爆破,又爆破出一個janitor賬戶
登錄janitor賬戶之后,重新發現一下密碼文件
將新得到的密碼文件復制出來,重新爆破得到一個fredf的賬號密碼
6、登錄fredf賬戶之后,可以執行sudo -l命令,發現可以不使用密碼執行root權限的腳本test
查看/opt/devstuff目錄下的test.py腳本,是一個寫入文件的腳本,生成一個密碼用root權限執行腳本寫入/etc/passwd文件
在kali中,生成一個密碼:openssl passwd -1 -salt test test
在靶場的shell中,使用命令:echo 'test:$1$test$pi/xDtU5WFVRqYS6BMU8X/:0:0::/root:/bin/bash' > /tmp/test,寫入一個passwd文件的格式的文件
之后利用sudo不需要密碼的test腳本文件,將自定義的用戶寫入到靶場的passwd文件中,使用命令:sudo /opt/devstuff/dist/test/test /tmp/test /etc/passwd,之后切換賬戶test,成功提權
到root目錄中,獲得flag
完