? ?這是這個(gè)系列的最后一個(gè)靶機(jī)了！！！經(jīng)過(guò)前面的鍛煉和學(xué)習(xí)，這次我的目標(biāo)是盡量不借助任何教程或者提示來(lái)拿下這個(gè)靶機(jī)！！！下面我們看能不能成功！！！

1.實(shí)驗(yàn)環(huán)境

攻擊機(jī)：kali2023.2

靶機(jī)：DC-9

2.信息收集

2.1主機(jī)掃描

2.2端口掃描

3.功能點(diǎn)收集

3.1查看網(wǎng)頁(yè)

3.2尋找功能點(diǎn)，看看有什么可以下手的思路

大家這里思考一個(gè)問(wèn)題，我們目前有什么，一個(gè)是80端口一個(gè)是22端口，22端口無(wú)非就是能進(jìn)行爆破然后遠(yuǎn)程連接，這種概率肯定很小，需要運(yùn)氣，其次就是80端口的web服務(wù)，然后我們發(fā)現(xiàn)的功能點(diǎn)一個(gè)是搜索一個(gè)是登錄，那對(duì)應(yīng)的可能的漏洞是不是就是弱口令和sql注入，因?yàn)槲覀兿胍猤etshell的話無(wú)非就是弱口令，注入漏洞，文件上傳，文件包含或者RCE，有人會(huì)說(shuō)那不是還有可能存在其他的一些xss之類的漏洞嗎？我們現(xiàn)在不是在挖洞，那些漏洞很雞肋并不能getshell，所以這里是不去考慮那些的，弱口令需要時(shí)間和運(yùn)氣，所以這里優(yōu)先嘗試一下sql注入行不行！

4.SQL注入

4.1找注入點(diǎn)

4.2跑sqlmap

4.3嘗試登錄

5.文件包含

5.1通過(guò)admin尋找線索

這里其實(shí)就出現(xiàn)一個(gè)問(wèn)題，目標(biāo)的22端口被過(guò)濾了，那么我們?nèi)绾闻袛嗨降资情_放著的還是關(guān)閉著的，只有先判斷出開沒(méi)開，然后才能考慮下一步操作，如果是關(guān)著的那還搞個(gè)毛，直接跑路。如果是開著的那我們?cè)傧朕k法繞過(guò)他，因?yàn)檫@種過(guò)濾多半是防火墻設(shè)置導(dǎo)致的！這里給一篇文章大家參考一下在這種情況下應(yīng)該如何判斷端口是否開放！nmap掃描之端口“filtered“被過(guò)濾的分析_nmap filtered-CSDN博客

再放一篇關(guān)于端口狀態(tài)的文章，大家可以多了解了解！

NMAP 六種端口狀態(tài)解讀_nmap filtered-CSDN博客

5.2端口敲門技術(shù)

這個(gè)東西我也是第一次聽到，咱們?nèi)ゾW(wǎng)上搜搜是怎么回事！

DC-9靶機(jī)-簡(jiǎn)單談一下端口敲門技術(shù) (Port Knocking)-CSDN博客

如何在 Linux 上使用端口敲門（以及為什么不應(yīng)該） (linux-console.net)

我大致理解了一下就是說(shuō)對(duì)方為了安全起見(jiàn)，在防火墻上對(duì)端口進(jìn)行了保護(hù)，只有符合規(guī)則的流量才可以通過(guò)防火墻訪問(wèn)被保護(hù)的端口，正常來(lái)說(shuō)這個(gè)規(guī)則只有使用者知道，這樣的話可以起到防護(hù)作用，像22號(hào)端口就屬于比較危險(xiǎn)的端口，被保護(hù)起來(lái)也是可以理解的！

其實(shí)nmap也是通過(guò)流量訪問(wèn)來(lái)進(jìn)行檢測(cè)的，然而我們直接掃描的流量肯定是不符合人家規(guī)定的自然打過(guò)去以后會(huì)被拋棄或者過(guò)濾，這種情況下nmap給我們的會(huì)先結(jié)果要么是filter不確定是否開放甚至說(shuō)是closed關(guān)閉狀態(tài)！

然后我們?cè)谏厦娴奈恼轮幸部梢粤私獾?#xff0c;這鳥毛玩意兒的配置是通過(guò)在相關(guān)的配置文件中進(jìn)行設(shè)置然后搞出來(lái)的，就像我們平常配置中間件什么的一樣，所以原來(lái)文件包含是用來(lái)讓我們查看這個(gè)端口敲門的配置文件的，到這里豁然開朗了！這個(gè)配置文件的路徑是 /etc/knockd.conf

nc -z IP 7469 8475 9842 //這個(gè)是配置文件里的那三個(gè)數(shù)字

然后其實(shí)就該爆破了，因?yàn)樽鲞@個(gè)就像做數(shù)學(xué)題一樣，每個(gè)條件都要用到，既然文件包含已經(jīng)有它的用處了，那剩下還沒(méi)用的條件就是22號(hào)端口連接ssh了，而且我們現(xiàn)在還有一些賬號(hào)密碼在手上！

5.3ssh爆破遠(yuǎn)程連接

6.尋找提權(quán)思路

6.1ssh登錄尋找線索

這里登上來(lái)之后發(fā)現(xiàn)三個(gè)賬戶下面啥都沒(méi)有，這里卡住了，找了半天沒(méi)有找到有用的東西，三個(gè)賬戶都沒(méi)有可以suid和sudo提權(quán)的命令！

find / -user root -perm -4000 -print 2>/dev/null

6.2Linux常用提取方法

在Linux系統(tǒng)中，提權(quán)是指從低權(quán)限用戶提升至超級(jí)用戶（root）權(quán)限的過(guò)程。這通常是在滲透測(cè)試或系統(tǒng)管理中需要執(zhí)行的操作，以便執(zhí)行更多的系統(tǒng)級(jí)任務(wù)。以下是一些常見(jiàn)的Linux提權(quán)方法：

內(nèi)核漏洞提權(quán)

Linux操作系統(tǒng)的內(nèi)核是系統(tǒng)的核心，一旦存在安全漏洞，攻擊者可以利用這些漏洞獲取root權(quán)限。例如，著名的“臟牛”漏洞就是一種內(nèi)核漏洞，可以被利用來(lái)提升權(quán)限。使用uname -a命令可以查看當(dāng)前系統(tǒng)的內(nèi)核版本，如果系統(tǒng)版本存在已知的漏洞，可以嘗試?yán)孟鄳?yīng)的漏洞提權(quán)工具或腳本。

SUID提權(quán)

SUID（Set Owner User ID）是Linux中的一個(gè)特殊權(quán)限位，當(dāng)設(shè)置了SUID權(quán)限的可執(zhí)行文件被運(yùn)行時(shí)，該程序?qū)⒁晕募姓?#xff08;通常是root）的權(quán)限運(yùn)行。通過(guò)查找系統(tǒng)中具有root權(quán)限的SUID文件，可以嘗試?yán)眠@些文件來(lái)提升權(quán)限。使用以下命令可以查找具有SUID權(quán)限的文件：

find?/ -perm -u=s -type f 2>/dev/null

計(jì)劃任務(wù)提權(quán)

如果計(jì)劃任務(wù)（Cron Jobs）以root權(quán)限運(yùn)行，并且相關(guān)腳本對(duì)其他用戶具有寫權(quán)限，或者腳本所屬組為其他用戶，則可以通過(guò)修改這些腳本來(lái)提權(quán)。可以通過(guò)查看/etc/crontab文件來(lái)發(fā)現(xiàn)系統(tǒng)中的計(jì)劃任務(wù)，并檢查相關(guān)文件的權(quán)限。

sudo濫用提權(quán)

在某些情況下，系統(tǒng)中的某些用戶可能被授予了可以以root權(quán)限運(yùn)行特定命令的sudo權(quán)限。如果可以找到這樣的命令，就可以嘗試?yán)盟鼈儊?lái)提升權(quán)限。使用sudo -l命令可以查看當(dāng)前用戶能以root權(quán)限運(yùn)行的命令。

配置錯(cuò)誤之利用/etc/passwd提權(quán)

如果/etc/passwd文件對(duì)其他用戶具有寫權(quán)限，攻擊者可以通過(guò)向該文件中添加一個(gè)UID為0的用戶來(lái)獲取root權(quán)限。這通常涉及到修改系統(tǒng)文件，需要謹(jǐn)慎操作。

以上是一些基本的Linux提權(quán)方法，每種方法都有其適用的場(chǎng)景和限制。在嘗試提權(quán)時(shí)，應(yīng)該首先收集盡可能多的系統(tǒng)信息，然后根據(jù)情況選擇合適的提權(quán)方法。提權(quán)過(guò)程中可能需要使用到各種工具和腳本，如內(nèi)核漏洞利用工具、密碼破解工具等。在實(shí)際操作中，提權(quán)往往需要結(jié)合多種技術(shù)和方法，以及對(duì)系統(tǒng)的深入了解。

因?yàn)閟uid和sudo提權(quán)比較常用，所以我看到不能用之后就跑去看能不能臟牛提權(quán)或者定時(shí)任務(wù)去了，后面看了一下提示才發(fā)現(xiàn)跑偏了！這里就有一個(gè)坑，登上去之后一定要看一下有沒(méi)有隱藏目錄或者文件！！！！！！！！！！！

6.3隱藏文件

6.4sudo提權(quán)

openssl passwd -1 -salt 賬號(hào) 密碼 //這里賬號(hào)密碼盡量簡(jiǎn)單一些，不然可能會(huì)出問(wèn)題在加密的時(shí)候

echo 'topsec:$1$topsec$0sD7IikM54/bEsFnRrIPv/:0:0:root:/root:/bin/bash' > /tmp/tiquan2sudo /opt/devstuff/dist/test/test /tmp/tiquan2 /etc/passwd

7總結(jié)

這個(gè)靶機(jī)我感覺(jué)非常美妙，涉及到的東西還是非常全面的，建議大家多打一打！

我認(rèn)為涉及到的一些經(jīng)典的姿勢(shì)有：端口掃描，sql注入，文件包含，爆破，端口敲門，sudo提權(quán)，以及大家對(duì)python腳本的理解，還有對(duì)Linux的很多命令的理解，就包括那個(gè)坑人的隱藏文件！