欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

oscp——DC9

程序员文章站 2022-05-17 10:29:21
...

0x00 前言

这个是第10个vulnhub的机子,现在的计划就是我先自己做一遍,然后再做笔记,这样子的效果可能更好一点,但是也有缺点就是有一点花时间。

0x01 实验

1.ip收集

oscp——DC9

2.端口收集

oscp——DC9

0x02 攻击

1.端口

由于22端口未开放,所以端口不予考虑

2.web

打开网站
oscp——DC9
看到一个搜索界面,感觉有sql注入
oscp——DC9
这里存在注入
oscp——DC9
这里获取到一些账号密码,进行记录。
oscp——DC9
获取到另外一组账号密码
oscp——DC9
md5解密
oscp——DC9
最后获得:admin,transorbital1
然后就是拿这些密码去登录了。
这里是登录界面
oscp——DC9
尝试之后使用admin账号登录成功
oscp——DC9
注意下面有一个file does not exist

猜测任意文件读取进行测试
oscp——DC9
这里使用fuzz,可以看到一个knock文件
oscp——DC9
knock文件就是一个敲门的防护机制,具体可以百度一下

查看文件,可以看到打开22端口需要通过顺序访问以下三个端口
oscp——DC9
使用nmap进行端口访问,使用nmap -p 进行访问,这个时候22已经打开了。
oscp——DC9
使用hydra进行**,这里获取到了三个用户,分别进行登录
oscp——DC9
在janitor用户下,找到了一个密码表
oscp——DC9
继续使用hydra进行**,可以发现多了一个用户
oscp——DC9
进行ssh连接并且sudo -l查看本用户的权限
oscp——DC9
此处可以看到是一个py文件
oscp——DC9
cat一下,发现这个程序就是一个拥有root权限进行复制的功能
oscp——DC9
这里可以进行/etc/passwd写入

利用openssl进行本地生成
oscp——DC9
查一下root的passwd
oscp——DC9

dudu:$1$dudu$AfVmNeku4oMfgcJecmsuf0:0:0:root:/root:/bin/bash 

写在tmp目录下
oscp——DC9
oscp——DC9
最后sudo切换一下就行
oscp——DC9

0x03 总结

  • sql注入
  • hydra**
  • ssh登录
  • sudo -l
  • python脚本利用
  • openssl生成
  • 写入/etc/passwd即可
    其实这种机子,最主要的是思路,最后的步骤其实差不多。
相关标签: oscp