前言
将近一年没玩Web,没玩渗透了,企业来学校培训教了点Web安全的姿势(不教二进制,有点失望!!!后来问了下,原来是半路出家的,不会 (滑稽 ),教的时候,是用DC靶机中的DC-4,做完实验后,干脆写个博客算了,就当是玩玩,慢慢地也会把其它几个补全来。下载地址
正菜前的甜点
1)安装DC-4靶机:直接用VMware打开DC-4.ova文件,导入到相应文件夹即可;
2)将Kali与靶机设置为同一网段:VMware–虚拟机–设置–网络适配器–仅主机模式
3)获取目标主机的IP地址:首先获取Kali的IP地址为192.168.208.129,再寻找同网段内的其他主机的IP地址,一个个排除,直到找到目标主机的地址为192.168.208.131
正菜
在浏览器中访问该地址后,发现一个登入框:
使用burp爆破,用Kali自带的两个字典中较小的那一个即可【Kali中自带了两个字典,一大一小为别为:/usr/share/wordlists/rockyou.txt.gz;/usr/share/john/password.lst】,发现用户名为admin,密码为happy,登入后结果如下:
可以看到能够执行ls -l, du -h,df -h这三个命令,猜测可能存在命令注入漏洞,修改radio参数,可以看到有三个用户名
,及各用户名下的相应文件,其中有个/home/jim/backups/old-passwords.bak文件,通过cat命令可以获得其内容:
1 | hydra -L user.txt -P old-password.txt 192.168.208.131 ssh -vV -o hydra.ssh |
考虑到目标主机还开启了22端口,也许是要我们使用ssh登入,因此,使用hydra爆破,将charles,jim,sam写入用户名字典user.txt中,将old-passwords.bak中的内容作为密码字典old-password.txt,爆破结果如下:
可以发现jim的ssh登入密码为:jibril04。使用该密码登入:ssh jim@192.168.208.131,登入后打印mbox文件
给人的第一印象就是,这是封邮件,因此,我们转到/var/mail目录下,发现也有个jim文件,打印结果为:
将用户从jim切换为charles,还发现charles貌似权限不够
查看用户权限,发现该用户可以以root权限免密码执行 /usr/bin/teehee
提权时,我们可以选择用定时器提权,或者是篡改 passwd写入一个具有root权限的伪用户进行get root
选择添加一个f1yingf0x用户,并使用teehee执行写入 passwd中(也可以选择通过teehee的sudo提升权限以root身份写入crontab计划任务通过执行获取root权限)
1 | 参数解释: |
获得root权限后,打印root目录下的flag.txt文件,获得最终的结果:
