前言：本文中涉及到的技术，只提供思路，严禁用于违法测试

一、拿枪杆子

获取靶机地址 https://www.vulnhub.com/entry/dc-4,313/

1、获取ip地址

2、扫描目标端口

3、漏洞探测和利用

发现目标开放了80端口，于是我们就先去看看web端有没有什么漏洞可以利用的。

发现是一个登录框，还看到他有提示用户名应该是admin，尝试一下弱密码，无果。我们尝试万能密码，看看能不能绕过登录，也不行，这个时候我就要上我的大字典爆破了。

想要很全的爆破字典的去主页v我。

登陆界面暴力破解

这个时候，可以用bp暴力破解，也可以用hydra暴力破解，但是bp太慢，我们于是就使用hydra工具进行暴力破解。

使用之前得知道hydra怎么使用的。

参考资料：

https://blog.csdn.net/lixiangminghate/article/details/104335778

我们去F12大法。

使用工具：

 hydra -l admin -P wordlist.TXT -f 192.168.44.132 -vV http-post-form "/login/php:username=^USER^&password=^PASS^:S=Logout"

成功爆破出密码。

我们去登陆，看看里面有什么功能。

我们用bp抓包，看看他到底是怎么传的参数，看看能否利用。

发现执行命令的参数在这里，我们去看看能不能执行其他的命令。

尝试反弹shell

成功反弹shell。

看看有没有什么可以利用的点。

在jim路径下，发现了可能old-passwords.bak文件，可能是旧密码。

看到这个，联想到，我们刚才的那个ssh服务，想想可不可能是他的旧密码，爆破一下试试，看看能不能成功登录。

ssh暴力破解

hydra -l jim -P pass.txt ssh://192.168.44.132

成功爆破出密码。

尝试ssh连接。

连接上后尝试提权，发现suid提权无法利用。但是呢，通过查看文件，发现里面有一封邮件。

可以看到邮件中有另一个用户的密码。

命令：mail，进入自己的邮箱，输入：1，可以看到信件内容

尝试去连接charles用户。

连接上后，发现也无法提权，但是呢，输入sudo -l，后发现当前用户使用root权限运行的teehee命令。

这个很关键，尝试teehee提权。

4、提权

teehee命令可以对文件进行写入操作，我们可以借此来提权。

就是使用teehee -a 把一个账号密码写入到etc/passwd中，这个用户具有root权限，再切换到这个用户即可。

所以，就往用户列表中添加一个超级管理员就行了。

操作如下：

输入命令：

sudo teehee -a /etc/passwd

admin::0:0::/bin/amdin:/bin/bash

这时候我们在去查看用户列表，发现已经有一个新的超级管理员用户了。

cat /etc/passwd

然后，我们去切换用户就行了，

su admin

cd /rootcat flag.txt

到此，靶场打完，实验结束，成功提权。

原文始发于微信公众号（LHACK安全）：来拿枪杆子——>渗透实战（五）