写在前面
靶场链接:
https://www.vulnhub.com/entry/dc-4,313/
有些知识点在DC:1中提到,可以翻阅
DC:1
信息收集
常规存活扫描
这里115为攻击机,141为物理机,61为网关。靶机ip为:192.168..201.204
常规端口扫描,一个80,一个22
进入80端口,提示是admin信息系统登录
尝试弱口令,sql注入。输入常规探测语句没有反应,直接重定向回登录窗口,这个点应该不是sql注入
由于网站标题,猜测用户名应该就是admin,进行爆破
设置爆破点,设置好字典,开始
爆破出不少,这个爆破点设置的还是比较简单,happyman,hast,heaven啥的都行
命令注入
进入后台,是一个执行命令的地方,最容易想到命令注入。
抓包出来,果然可以命令注入
测试其他命令
查找/etc/passwd有三个其他用户,分别是charles,jim,sam
小问题:这里不知道为什么不能直接反弹shell出来,查看回显是对的,求解答
查询三个用户的home目录,查看是否有敏感文件,突破点。查看charles,好像没什么特别的
sam看起来也没什么特别的
jim目录下有一个backups文件夹,还有一些脚本和文件,显然backups代表备份,先查看一下
这里是基础的命令注入,因为上面的ls -al展示下可以看到backups是一个文件夹,所以要先cd进去。查看到一个old-passwords.txt,看起来应该就是突破点了,cat出来看看
打开后是一个类似于密码本的样子,把它保存下来,我们不是登录了后台么?那么这里的密码本还能用于哪里呢?前面还有扫描到的22端口,看来这里就是突破口了
爆破
将用户名存在一个文本中,准备爆破
同样存好密码
使用hydra爆破ssh,这个工具非常经典,支持许多的在线协议破解
等待一会,出现爆破结果
使用爆破结果登录
jim jibril04
ssh jim@192.168.201.204
查看一下该账户下的其他文件,有一个mbox文件,打开看看,是一封邮件,是由root用户发来的测试邮件
说到邮件,这里要提到linux中的邮件系统
/var目录主要存放的是一些经常变动的文件,如缓存文件、日志文件、程序运行时产生的文件等
- /var/cache:应用程序运行过程中产生的一些缓存
/var/lib:存放程序执行过程中使用到的一些数据文件、在该目录下各个软件有各自的目录
/var/lock:某些资源或设备同一时刻只能被一个程序使用或访问,因此在一个程序使用的时候,就为该资源上锁(lock),以防止被其他程序使用,该目录就放置这些相关信息
/var/log:系统中各种日志文件存放的目录
/var/mail:放置个人电子邮箱的目录
/var/spool:该目录通常放置一些队列数据,用完之后一般会被删除- /var/spool/mail/:放置收到的新邮件 (和/var/mail为链接文件)
/var/spool/mqueue/:放置暂时未发出的邮件
/var/spool/cron:放置计划任务数据crontab
或许这里是一个提示,Linux中存放电子邮件的地方,是在/var/mail下。查看到以下邮件,是charles发来的
水平越权
它说他的密码是这个
^xHhA&hvim0y
继续跟进 charles
查找suid文件,尝试提权(前面在jim账户下同样尝试提权,查找suid文件,但没找到什么有用的东西)
提权
查看sudo list,有一个teehee的东西
查看该命令帮助,这个命令可以写文件
尝试向/etc/passwd文件中写入无密码的admin账户
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
执行上述命令,查看一下passwd文件,已经写入成功了
登录admin
找到flag文件
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
