攻击机kali:192.168.56.102
靶机dc-4:192.168.56.105
确保两台主机ip在同一网段上,dc4靶机的网络连接设置为仅主机网络,kali的设置为桥接模式
配置好相关网络要求之后就可以开始扫描了。
扫描存活主机ip:arp-scan -l
接着扫描端口:nmap -sV -p- 192.168.56.105
发现开放80端口和22端口 ,存在http服务,用浏览器进行访问
可以看到是个登录页面且为admin信息系统登录,那用户名就是admin了,抓包对密码进行爆破
字典的话选自带的password.lst就行,路径/usr/share/john/password.lst
社区版bp调不了线程所以过程有点久,好在不需要爆破完
可以看到在第96个的时候就已经出来了 但是我没注意,看到了一个长度最特殊的,确定是密码之后尝试进行登录
点击command,然后发现有三个命令
并且可以执行,那就可以抓包进行修改命令并执行
可以进行命令注入,查看passwd文件。
在这里发现3个用户名,切换到charles目录,看看有什么信息
并没有什么有用的信息,切换到jim目录再看一下
在这发现有backups目录以及mbox目录,进入到backups目录发现有个
passwords.bak文件
打开看看
在这发现了一堆旧密码,那么我们就可以利用hydra对三个用户进行ssh爆破,将三个用户名写入users.txt,密码写入passwd.txt
写入完成之后就可以进行爆破了,刚开始的时候知道了ssh的端口为22,进行爆破
hydra -L users.txt -P passwd.txt 192.168.56.105 ssh -s 22 
登录这个用户
ssh jim@192.168.56.105 -p 22
此时看到提示说,有一封mail邮件,我们打开看看有什么
我们可以看到是charles给jim的邮件,邮件中提到了自己的密码,此时就可以切换到charles,并看一看charles能用什么管理员命令
发现可以使用teehee命令,我们并不了解这个命令,此时可以通过--help来了解一下
可以看到它可以在不附带原有文件的基础上,向里面加入新的数据,所以正好可以用来在passwd文件里加一个管理员用户 然后设置好自己的密码,那这样我们就可以利用这个方法来进行提权了,先利用mkpasswd来生成密码
然后就可以使用teehee来添加一个管理员用户到passwd文件里
sudo teehee -a /etc/passwd
hacker:$6$qQvulTQDQfnrm2VP$0WC8t/mfo3xuQ.NFE5aChq5ibaM2pq8Zpqhu9Lje6THEYhJ0G4ze4yMF8XBzjCP12dBADhcFY8qFPeQssH48G/:0:0:/root/root:/bin/bash记得在密码最后添上权限信息的路径
添加完成之后查看一下看有没有添加成功
在最后这里发现已经添加成功了,然后就可以直接切换到hacker用户
得到root权限之后直接打开root目录下的flag.txt就行
至此,dc-4靶机结束~~
5922
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
