Vulnhub靶机DC-9通关笔记
¶前言
这是DC系列的最后一个靶机
下载地址:https://www.vulnhub.com/entry/dc-9,412/
¶开始
nmap 扫描
开放80端口
search有注入
得到账号密码
在另外一个数据库得到admin的账号密码
注意到这里 可能存在文件包含
果然存在文件包含
想包含日志文件发现包含不了
看了大佬的wp学到了新思路
- /etc/knockd.conf
如果你有一台公众可访问的服务器,黑客可以轻松扫描其IP地址,查找服务器上的开放端口(尤其是用于SSH的端口22)。将服务器隐藏起来、不让黑客看见的一种方法是使用knockd。knockd是一种端口试探服务器工具。它侦听以太网或其他可用接口上的所有流量,等待特殊序列的端口命中(port-hit)。telnet或Putty等客户软件通过向服务器上的端口发送TCP或数据包来启动端口命中。
端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。
换句话说,如果知道自定义的端口,逐个进行敲门,这样我们就能够开启SSH端口,从而进行连接,所以利用LFI来查看knock.conf文件配置,得到自定义端口。
得知需要敲门的端口 7469,8475,9842
nmap -p7469 192.168.3.90
nmap -p8475 192.168.3.90
nmap -p9842 192.168.3.90
22端口打开了
在/etc/passwd看到了先前第一个数据库得到的用户 猜测可以用他们的账号登陆ssh
用hydra爆破
爆破出来三个用户
在janitor里找到了一点东西
估计是ssh的密码 加入password.txt
多了一个账号
这个用户可以运行sudo -l
发现有个test可以以root权限运行
大概的意思是可以写文件
可以写文件的提权方式在DC4里学过 可以用写/etc/passwd的方式
openssl passwd -1 -salt r0cky r0cky
生成密码
r0cky:$1$r0cky$B7QNaeGHNTBtT3R3Py.1m.:0:0::/root:/bin/bash
写入/tmp/r0cky
提权成功
得到flag
¶总结
DC系列所有靶机都过关了,这个靶机学习到了knockd方式来打开端口,这是以前没有接触到了,并且巩固了通过写/etc/passwd来提权
接下来的目标就是继续做vulnhub有关于OSCP的靶机 有考OSCP的打算
还有内网渗透的学习也要提上议程