vulnhub dc-9靶機通關
思路:sql注入登入->lfi(本地檔案包含)->埠敲門->root提權
首先搭建好環境,我這裡使用nat模式,使用區域網掃瞄器,掃瞄到我142的位址
訪問頁面,點選幾下之後發現search這裡存在了搜尋功能,嘗試抓包看看有無注入
通過and 1=1 and 1=2判斷此處是存在了注入,使用sqlmap跑起來。
通過sqlmap跑到一些資料,通過somd5解密admin密碼,登入後成功:transorbital1
登入只有就多了兩個功能點,看到網頁下方存在 file does not exist檔案不存在,猜測可能存在本地檔案包含漏洞,使用fuzz跑一下
可以看到還是可以跑到一些檔案的。但是到這裡也就卡住了,沒有跑到日誌檔案無法通過日誌檔案包含拿shell
去看大佬的做法,這裡需要使用埠敲門的方法
原理簡單分析:
埠敲門服務,即:knockd服務。該服務通過動態的新增iptables規則來隱藏系統開啟的服務,使用自定義的一系列序列號來「敲門」,使系統開啟需要訪問的服務埠,才能對外訪問。不使用時,再使用自定義的序列號來「關門」,將埠關閉,不對外監聽。進一步提公升了服務和系統的安全性。
簡單來說就是:知道它的自定義埠後,依次對其進行敲門,然後就可以開啟ssh服務從而進行連線了。它的預設配置檔案為:/etc/knockd.conf
看到他存在3個自定義的埠,根據port-knocking的規則依次訪問這三個埠就可以開啟ssh服務
根據大佬提供2種敲擊方法:nc、nmap
for x in 7469 8475 9842;do nmap ‐pn ‐‐max‐retries 0 ‐p $x 192.168.147.142;done
for x in 7469 8475 9842 22 ;do nc 192.168.147.142 $x;done
還是這種方式好使,使用nmap沒開起來。可以看到ssh服務已經開啟了
將sqlmap列舉出來的使用者名稱密碼做成乙個字典,使用hydra爆破,有三個使用者名稱可以登入
通過查詢這三個使用者名稱的目錄,只有janitor檔案下有可讀檔案,檔案內容是一些密碼,新增到密碼字典再次進行爆破
果然出現了乙個新的使用者
登入進去之後使用sudo -l 檢視許可權,發現在/opt/devstuff/dist/test/test檔案下有root許可權
在/opt/devstuff/目錄下發現了test.py指令碼,他會開啟第乙個引數讀取內容,然後開啟第二個引數寫入
既然擁有root許可權,那現在我們要做的就是構造乙個擁有root許可權的使用者,並且在/etc/passwd檔案中儲存,只要使用這個使用者登入後,就可以獲取到root許可權
建立乙個具有root許可權的新使用者
首先在kali本地使用openssl生成乙個名為test的使用者,其密碼為123456
openssl passwd -1 -salt test 123456
新增使用者名稱、:和:0:0:: ,使test使用者擁有root許可權,使用echo在tmp下建立test檔案
echo 'test:$1$test$at615qshykduqlx5z9zm7/:0:0::/root:/bin/bash' >> /tmp/test
將test檔案中的資訊追加到/etc/passwd中,切換到test使用者
vulnhub dc 7靶機通關
安裝好靶機環境,下面會有一些提示,可是被我刪掉了,懶得做還原了,在自己的環境下應該能看到 歡迎來到dc 7 dc 7引入了一些 新 概念,但是我會讓您知道它們是什麼。儘管這一挑戰並不是技術性的全部,但是如果您需要訴諸於暴力破解或字典攻擊,那麼您可能不會成功。您將要做的就是在盒子外面思考。通過外掛程式...
9 萬用字元模式
4 萬用字元規則 3.1 引入必須依賴pom.xml3.2 獲取mq連線com.test.rabbitmq.util.connectionutil3.3 訊息消費者1com.test.rabbitmq.topic.topicconsumer3.4 訊息消費者2com.test.rabbitmq.to...
RS232通訊以及dB9定義
rs 232c 介面定義 db9 引腳定義 符號1 載波檢測 dcd data carrier detect 2 接收資料 rxd received data 3 傳送資料 txd transmit data 4 資料終端準備好 dtr data terminal ready 5 訊號地 sg si...