题前环境(kali dc-4)
老样子 先进行信息收集
得到目标机 135
使用nmap对其进行扫描
扫到了靶机开放的端口 22和80 访问试试看
得到登录页面 需要口令 使用burpsuite暴力破解
截取到数据 send to intruder 发送给测试器
添加个有效文件(kali中的密码字典)
start attack开始攻击
得到password 回到页面进行登录
点击command 得到三行命令 是可以执行的
再次抓包
可以进行命令注入 查看passwd文件 (cat+/etc/passwd)
在这里发现3个用户名 切换到charles目录 看看有什么信息(ls+-al+/home/charles)
木有什么有用的信息 切换到jim目录再看一下 (ls+-al+/home/jim)
发现有个backsups目录 进去查看 (ls+-al+/home/jim/backups)
回显一个类似口令的文件 打开看看 (cat+/home/jim/backups/old-password.bak)
在里面发现了一堆旧密码 那么我们就可以利用hydra对三个用户进行ssh爆破 将三个用户名写入users.txt 密码写入passwd.txt
信息收集是发现有两个端口开着 80和22 现在利用一下它的22端口 hydra进行爆破(hydra -L dc-4user.txt -P dc-4passwd.txt 192.168.115.135 ssh -s 22)
发现jim用户 尝试登录jim (ssh jim@192.168.115.135 -p 22)
成功了 仔细观察 发现里面存在一个邮件 打开
存在一个passwd 这个passwd是home目录里charles的 那么我们尝试切换用户
顺利切换 进行提权
提示teehee具有root权限 使用teehee命令提权 使用teehee命令创建一个用户 uid=0
( sudo teehee -a /etc/passwd
demon::0:0:::/bin/bash )
查看用户权限
找的flag
小结:
A: burp爆破
B: hydra密码爆破
C: teehee命令提权