写在前面
靶场链接:
https://www.vulnhub.com/entry/dc-4,313/
有些知识点在DC:1
中提到,可以翻阅
DC:1
信息收集
常规存活扫描
这里115
为攻击机,141
为物理机,61
为网关。靶机ip为:192.168..201.204
常规端口扫描,一个80
,一个22
进入80
端口,提示是admin
信息系统登录
尝试弱口令,sql
注入。输入常规探测语句没有反应,直接重定向回登录窗口,这个点应该不是sql
注入
由于网站标题,猜测用户名应该就是admin
,进行爆破
设置爆破点,设置好字典,开始
爆破出不少,这个爆破点设置的还是比较简单,happyman
,hast
,heaven
啥的都行
命令注入
进入后台,是一个执行命令的地方,最容易想到命令注入。
抓包出来,果然可以命令注入
测试其他命令
查找/etc/passwd
有三个其他用户,分别是charles
,jim
,sam
小问题:这里不知道为什么不能直接反弹shell
出来,查看回显是对的,求解答
查询三个用户的home
目录,查看是否有敏感文件,突破点。查看charles
,好像没什么特别的
sam
看起来也没什么特别的
jim
目录下有一个backups
文件夹,还有一些脚本和文件,显然backups
代表备份,先查看一下
这里是基础的命令注入,因为上面的ls -al
展示下可以看到backups
是一个文件夹,所以要先cd
进去。查看到一个old-passwords.txt
,看起来应该就是突破点了,cat
出来看看
打开后是一个类似于密码本的样子,把它保存下来,我们不是登录了后台么?那么这里的密码本还能用于哪里呢?前面还有扫描到的22
端口,看来这里就是突破口了
爆破
将用户名存在一个文本中,准备爆破
同样存好密码
使用hydra
爆破ssh
,这个工具非常经典,支持许多的在线协议破解
等待一会,出现爆破结果
使用爆破结果登录
jim jibril04
ssh jim@192.168.201.204
查看一下该账户下的其他文件,有一个mbox
文件,打开看看,是一封邮件,是由root
用户发来的测试邮件
说到邮件,这里要提到linux
中的邮件系统
/var目录主要存放的是一些经常变动的文件,如缓存文件、日志文件、程序运行时产生的文件等
- /var/cache:应用程序运行过程中产生的一些缓存
/var/lib:存放程序执行过程中使用到的一些数据文件、在该目录下各个软件有各自的目录
/var/lock:某些资源或设备同一时刻只能被一个程序使用或访问,因此在一个程序使用的时候,就为该资源上锁(lock),以防止被其他程序使用,该目录就放置这些相关信息
/var/log:系统中各种日志文件存放的目录
/var/mail:放置个人电子邮箱的目录
/var/spool:该目录通常放置一些队列数据,用完之后一般会被删除- /var/spool/mail/:放置收到的新邮件 (和/var/mail为链接文件)
/var/spool/mqueue/:放置暂时未发出的邮件
/var/spool/cron:放置计划任务数据crontab
或许这里是一个提示,Linux
中存放电子邮件的地方,是在/var/mail
下。查看到以下邮件,是charles
发来的
水平越权
它说他的密码是这个
^xHhA&hvim0y
继续跟进 charles
查找suid
文件,尝试提权(前面在jim
账户下同样尝试提权,查找suid
文件,但没找到什么有用的东西)
提权
查看sudo list
,有一个teehee
的东西
查看该命令帮助,这个命令可以写文件
尝试向/etc/passwd
文件中写入无密码的admin
账户
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
执行上述命令,查看一下passwd
文件,已经写入成功了
登录admin
找到flag
文件