vulnhub系列靶机--DC4

vulnhub系列靶机–DC4

1.使用nmap扫描主机ip

nmap -sP 192.168.211.1/24

目标靶机的ip为192.168.211.137

2.扫描目标靶机开放的端口服务

nmap -A 192.168.211.137 -p 1-65535

目标靶机开放了22端口和80端口

我们在浏览器上访问80端口

发现一个admin登录框

尝试使用burp爆破，首先找到kali里面的字典文件并下载到本地

由于社区版burp不能设置线程，很慢，所以使用hydra

hydra -l admin -P password.lst 192.168.211.137 http-post-form “/login.php:username=^USER&password=^PASS:S=logout” -F

得出密码为happy

登录之后发现有一个可执行命令的界面，抓包看看命令是怎样被执行的

发现执行的命令可以修改，输入whoami，命令成功被执行

所以存在一个命令注入漏洞

在/home/jim/backups目录下发现一个密码文件

查看该密码文件，将其复制出来

在etc/passwd下发现有三个用户，jim，sam，charles，将其放入一个文件夹中，由于开放了22端口，所以我们可以使用hydra爆破

得出jim的登陆密码为jibril04

ssh [email protected] 使用ssh登陆

在Mbox中发现了一封邮件

然后在/var/mail/中发现了

找到charles的密码为^xHhA&hvim0y，使用ssh登陆

但是没有什么线索，我们尝试提权

sudo -l

发现teehee命令sudo是不需要密码

查看该命令的帮助

teehee -a 在文件后面追加内容但是不覆盖

我们可以尝试在/etc/passwd文件下添加新的用户使这个用户具有root权限

abc::0:0:::/bin/bash

用户名：是否有密码保护：uid(root)：全称：家目录：登陆状态

echo “asd::0:0:::/bin/bash” | sudo teehee -a /etc/passwd

写入成功

su asd 之后成功变成root用户，成功得到flag