我爱做靶机之DC-4

下载地址：https://www.vulnhub.com/entry/dc-4,313/

主机发现

arp -scan -l

nmap -sP

端口扫描

扫描目录

尝试了弱口令和万能密码，也没有什么用

开始爆破

登录成功，看样子像是存在命令执行漏洞

发现可以直接执行命令，直接尝试反弹shell试试

反弹成功

用python来一个交互shell，便于操作

python -c 'import pty;pty.spawn("/bin/sh")'

切换到home目录

发现字典文件，复制到本地，然后使用hydra进行爆破

hydra -l jim -P zidian ssh://192.168.44.145

得到密码，利用xshell进行链接

查看jim目录下的mbox文件,发现是from从root@dc-4发给to jim的一份信

cat mbox 

直接去/var/mail下查看邮件内容，这是一封charles给jim的一封邮件，大意就是Charles要去度假了，

老板让Charles把密码给jim，防止出现什么意外。

直接切换到Charles用户

su charles

查看权限，发现可以以root权限免密执行/usr/bin/teehee，看看这个文件的帮助，原来可以利用它来向其他文件写入内容

     

 

直接在/etc/passwd中增加一行，用户名为“shy014”,uid和gid都为0，那么这个用户就相当说root。之后直接切换到wang这个用户，得到root权限。

然后重启一下靶机，获得root权限，得到flag

 

 

尝试suid提权，发现exim4在使用时具有root权限，它有一个s标志位，允许其他的非root权限用户用root权限

来执行该文件

第二种：通过定时任务执行脚本提权：

向/etc/crontab文件中写入新的定时任务

时间部分全部填写为*，这样默认这个定时任务每分钟执行一次，可以根据情况自行设定。通过执行的脚本将/bin/sh的权限修改为4777，这样就可以在非root用户下执行它，并且执行期间拥有root权限。
 

查看exim4的版本,发现命令无效，suid提权失败。

exim4 --version