实验环境:DC-4靶机,kali攻击机
靶机:
链接:https://pan.baidu.com/s/1naWHuZDDwWOI2zqO6vG6OA 提取码:rkzw
1、查看靶机的mac地址
扫描C段网络
nmap -sP 192.168.246.130/24 -o nmap.sP
发现目标主机的ip地址为192.168.246.143
扫描目标主机开放的端口
nmap -A 192.168.246.143 -p 1-65535 -oN nmap.A
开放了80端口,可以访问网页
开放了22端口,可以尝试爆破
2、打开网页发现了需要密账号和密码进行登录
可以尝试使用bp进行爆破
根据提示,用户名极有可能是admin,所以只需要对admin进行爆破
寻找爆破的密码字典,在kali中寻找/usr/share/john/passwd.lit
正式爆破,结果:
得知密码为happy
3、用户名admin,密码:happy进行登录
打开可以发现能够执行相关命令
使用bp继续抓包分析命令是怎么执行的
这是执行命令抓到的包
尝试输入whoami看能否执行
发现有显示结果,这表示存在命令注入漏洞
查看/etc/passwd
查看家目录
依次查看每个用户目录
在查看jim目录时发现了一个备份的密码字典
查看这个密码字典
将密码复制保存到文件中
4、ssh爆破
创建用户名文件,将三个用户名加入进去
hydra -L user.dic -P old-passwd.bak ssh://192.168.246.143 -vV -o hydra.ssh
可以得到用户名为jim,密码为jibril04
使用ssh进行登录
ssh jim@192.168.246.143
5、登录成功后,查看相关文件
test.sh无作用,接着查看mbox里面的内容
发现了一份root发给jim的邮件,这个时候可以从邮件入手。
查看邮件
查看jim
发现了一封charles发给jim的邮件,里面有charles的密码:^xHhA&hvim0y
重开终端进行连接
登录后发现什么都没有
6、提权
使用jim用户提权
提示说jim用户不能够提权,所以使用charles进行提权试试
提示teehee
输入teehee --help查看详解
-a参数可以追加内容
可以在/etc/passwd内追加用户,伪造uid为0的用户
需要观察/etc/passwd结构,共7个字段
sudo teehee -a /etc/passwd
aaa::0:0:::/bin/bash