DC系列靶机渗透之DC-4

打开靶机，扫描IP地址，确定IP地址以后，利用nmap扫描开放的服务。

 

如上图可知打开了80,22端口，那么我们访问一下。

 

利用80端口发现了网站登录页面。

接下来，我们需要用到用户名和密码。

在kali中有一款爆破密码的工具john中有一套密码字典，那么我们就利用这个密码字典进行爆破。

 

把文件复制到一个路径下面。

接下来就需要用到burp爆破。

我的burp是安装在主机，那么就需要设置一下。

 

 

在IP栏选择一个地址，记住不要选127.0.0.1因为那个是本机的地址，随便选择一个自己喜欢的，填写一个没有被占用的端口号。

burp设置完成后选择确定即可。

接下来返回虚拟机，对浏览器设置手动代理。

填写刚刚设置的地址以及端口号即可。以上就是burp安装在主机抓包虚拟机地址的方法。

OK，渗透继续。

 

 

然后导入字典，之后进行爆破。

 

根据长度来确定，现在可以确定用户名是admin,密码是happy

 

登陆之后，如上图。

 

 

既然有提交按钮并且可以执行一些系统命令，就有可能存在命令注入漏洞，那么我们抓包观察试试。

 

 

执行一条经典的命令，证实了我们的猜想。

 

然后查passwd文件，找到用户。

那么，在这里解释一下为什么要找系统用户和密码，是因为我们通过一开始的扫描发现了这个靶机打开了80和22端口，那么我们就可以利用ssh协议来控制靶机。

接下来就需要寻找密码，那么我们可以试试在用户目录下面能不能找到密码备份的文件。

我们在jim用户下面找到了一个旧的密码字典。那么接下来就把字典放到一个新的文件里面。

 

然后再根据之前利用命令注入查出来的用户名新建一个用户名字典。

 

然后我们利用hydra进行破解。

hydra是一款开源的暴力密码破解工具，支持多种协议密码的破解。这个工具主要是用来解决有关协议的暴力破解。

 

我们成功拿到了用户密码，接下来利用ssh登录。

 

 

如上图所示登陆成功。

 

 

利用找出来的新的用户名和密码进行登录。

 

登陆成功

 

我们利用sudo -l查看不用密码就可以进入，但首先我们需要提权。

根据提示输入sudo teehee -a /etc/passwd

然后输入GGG：：0:0：：： /bin/bash

提权成功切换用户身份，进入根目录拿到flag，成功。