DC-4入门练习

DC-4靶机渗透

1. 环境准备

准备好DC-4虚拟机并查看MAC地址

KALI
BurpSuit

2. 信息收集

1.nmap扫描

nmap -sP 192.168.1.0/24 -oN nmap.sP
nmap -A 192.168.1. -p 1-65535 -oN nmap.A

先扫描目标网段根据MAC找到ip

然后在进行端口扫描发现22、80开放，访问

2. BP抓包进行暴力破解

1.bp抓包
因为登录网站后发现是一个管理员admin页面所以猜测用户名为admin

2.然后发送到intruder模块选择password变量

3.添加字典，设置线程
这里字典在kali里面把他复制到本地即可：


（这里线程大一点比较好，因为这里笔者使用的是Bp普通版无法设置大线程比较慢）

4.开始爆破

爆破成功：密码happy

3. 登录网站抓包分析

1.登录查看发现可以执行系统命令

2.进行抓包分析，送到重放模块

发现这里可以修改执行其他命令，才在命令执行漏洞（空格用+表示）：


查看当前系统有哪些用户(发现三个用户都在家目录下：

依次查看/home家目录

依次查看三个用户家目录下文件发现jim用户文件可能存在相关信息

发现一个密码备份文件

3.查看改文件并把相关信息复制保存到kali old-passwords.bak：


4.这里我们再创建一个用户名字典：


5.hydra爆破
因为这里我们有了用户名，密码字典，对方开放了22端口，所以我们可以进行hydra爆破

hydra -L user.dic -P old-passwords.bak  ssh://192.168.1.16 -vV -o hydra.ssh

找到后我们尝试进行登录：

ssh [email protected]

6.查看jim用户有哪些文件
发现mbox下有一个邮件jim信息

找到邮件信息发现是charles用户发的

由于知道charles的密码我们可以尝试登陆ssh

查看目录，发现除了jim用户都没有文件

7.查看可以不需要密码就可以使用root权限执行的命令：

发消teehee函数，查看teehee的用法：

思考：我们可以利用这个在/etc/passwd 下追加root用户：

4. 提权

补充：
/etc/passwd存放用户名相关信息，每一条表示一个用户，每一行有6个：7个字段

字段 内容	hpc666::0:0:::/bin/bash各字段含义
字段1 —用户名	hpc666
字段2 —密码占位符	0表示没有密码
字段 3—用户UID 0表示root用户1-499程序用户 500-60000普通用户	0表示root用户相当于root用户的别名
字段4—用户组gid	0表示root用户
字段5—用户信息字段	空表示没有
字段6 —用户家目录	空表示没有
字段7 —用户登录后使用的命令解释器	执行命令位置

1.利用teehee进行用户名追加

sudo teehee -a /etc/passwd

hpc666::0:0:::/bin/bash

2.切换到hpc666用户发现提权成功：
进入/root目录查看，发现flag

3.注意：
这里有一点要说明：jim用户刚开始ssh既然登录成功了，为啥不直接提权绕这么一大圈，以为jim用户没有sudo权限，只能另辟蹊径发现charles用户可以

DC靶机系列入门详解，关注查看下一篇

参考资料：千峰网络安全
如有错误欢迎━(｀∀´)ノ亻!点评留言