准备kali(192.168.61.132)和DC-4(未知)
kali与DC-4都使用NAT连接
DC-4靶机 下载地址:
链接:https://pan.baidu.com/s/1U7V8NsuUoBGYk8ACkvYFtQ?pwd=14ui
提取码:14ui
第一步使用nmap扫描同段主机,判断DC-4的IP地址
然后我们用浏览器访问IP地址
除了账号密码登录框什么也没有
用whatweb探测站点
whatweb -v 192.168.61.136
发现nginx的版本号为1.15.10
接着使用敏感目录扫描
nikto -host 192.168.61.136
并没有什么敏感信息
我们尝试使用burp暴力破解
打开burp将浏览器设置代理或者使用burpsuite自带的浏览器都可
我们随便输入账号密码进行抓包
接着发送到intruder模块将账号密码设置变量,进行账号密码的爆破
进行密码爆破, 使用kali中自带的密码字典,路径为:usr/share/john/passwprd.lst
最终爆破密码为happy
使用账号密码进行登录
点击command命令,可以看到可以执行 ls -l 命令
我们点击run再次进行抓包,发现命令执行,但是并没有加密
将抓到的包发送到repeater模块
将ls更改为 cat+ /etc/passwd
这个文档是我们在渗透过程中经常用到的文件,记录用户对应的每个记录行,一般被系统管理员对这个文件进行修改与完成对用户的管理工作
查看文件发现有三个用户,我们先进入charles用户里
发现什么信息也没有,然后我们进入jim用户进行查看,发现两个目录即 backups和mbox
我们进入backups中进行查看,发现了old-passwords.bak的文件,进入查看
进入old-passwords.bak,文件中查看发现全是密码所以我们接着进行对他的爆破
我们将刚爆破出来的三个文件名写入到user.tst文档中,将old-passwords.bak中的密码写到passwd.txt文档中,然后使用hydra对三个用户进行ssh爆破
hydra -L user.txt -P passwd.txt 192.168.61.135 ssh -s 22
然后用户名密码就被爆破出来
接着使用ssh进行远程登陆,登录之后提示我们有一封新的文件
使用find命令查找一下邮件mail的路径
find / -name mail
邮件路径为 /var/mail
然后我们进入到var/mail下查看有一封jim的邮件查看
内容是:Charles去度假了,因此老板要求他把他的密码给jim防止出现什么问题。
可怜的老实人jim,同事周六去度假了他还要上班
可以看到老板让charles把密码他的给到jim ,密码为:^xHhA&hvim0y
然后我们登录到charles用户
接着查看charles可以用什么管理员命令
sudo -l
teehee提权1
teehee命令可以对文件进行写入操作,我们可以借此来提权。
就是使用teehee -a 把一个账号密码写入到etc/passwd中,这个用户具有root权限,再切换到这个用户即可。
echo "yun::0:0:::/bin/bash" | sudo teehee -a /etc/passwd //提权语句
su yun
cat /root/flag.txt
我们把权限全都给yun,然后切换到yun这个用户,最后查看flag
teehee提权2
使用mkpasswd命令,生成hash密码加密并复制下来
mkpasswd -m SHA-512 1234
使用charles进行teehee提权, 然后切换到jian用户,进入到root目录下查看flag
sudo teehee -a /etc/passwd
jian:hash加密的密码:0:0:::/bin/bash
DC-4靶机完结!撒花*★,°*:.☆( ̄▽ ̄)/$:*.°★* 。