DC-4靶机复现

一、信息收集

1.使用 arp-scan -l 确认靶机IP地址:

image

2.使用nmap扫描靶机开放的端口(nmap -A -p 1-65535 192.168.11.132

image

发现开放了22和80端口,访问80端口:

image

是个登录框,可以尝试一下爆破。

二、漏洞攻击

1.Burpsuite爆破

image

用的darkweb2017-top10000.txt,爆破出来密码是happy,登录后:

image

发现是可以传输指令的,抓包一下:

image

可以试试修改radio的数据:

image

发现可以读取,查看一下passwd文件:

image

发现有charles,jin和sam可以登录,查看三个账户的家目录:

image

发现jim的家目录可以访问:

image

查看目录中的文件,发现在backups中有old-passwords.bak文件,查看:

image

image

保存其中的密码到文件pass,然后可以用hydra对jim用户进行ssh登录密码爆破:

hydra -l jim -P /root/桌面/pass ssh://192.168.11.132

image

成功爆出密码:jibril04,用jim用户等到服务器:

image

2.进入系统

查看可以使用哪些命令:
find / -perm /4000

image

发现有exim4命令,可以提权。

三、提权

查看exim4的版本号为4.89:

image

在kali中寻找提权的方法:

image

发现46996.sh脚本可以提权,将其发送到DC-4中

image

执行46996.sh文件:

image

成功提权,查找并查看flag:

image

完成。

posted @ 2021-11-25 17:42  sainet  阅读(207)  评论(0编辑  收藏  举报