vulnhub DC-4

扫描获取靶机ip

nmap看一下开启了什么服务

访问一下80端口，看到是一个登录页面

top500爆破一下，成功获取到密码

登陆进去，发现是三个命令执行的页面

f12看看，命令直接显示在这里

更改一下试试行不行

成功执行id命令，尝试反弹shell

成功反弹shell

切换到交互式shell

查看/etc/passwd发现三个用户

切换到jim目录下发现三个文件

backups目录下有一个old-passwords.bak文件，cat查看一下

是一些密码，把密码保存下来，尝试ssh爆破一下jim的密码

直接尝试ssh登录，登录后查看mbox文件，发现是一封信

切换到/var/mail目录下查看发现两个文件

查看www-data没有权限，查看jim，发现了charles发来的一封信，最下面还有密码

ssh登录charles用户

sudo -l查看一下，发现teehee命令可以执行

teehee --help用法

看不懂，去搜索一下wp，使用teehee在/etc/passwd文件里面写一个用户

查看是否写入成功

成功写入，切换用户

失败，尝试另一种方法，创建计划任务，因为计划任务通常是以root权限运行的，teehee正好可以以root用户身份执行，teehee改计划任务文件可以达到提权的目的。

echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab

创建一个定时任务，给/bin/sh赋予SUID权限，用teehee命令把这个定时任务写到定时任务文件/etc/crontab中去

这个系统中把/bin/sh指向了/bin/dash,查看/bin/dash被赋予了s权限

切换到/bin/sh，进入root目录下查看flag