天天看點

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

文章目錄

  • 前言
  • 一、DC-4的資訊收集
    • 1.确定IP,端口号;
    • 2 通路目标80端口,收集資訊
  • 二、通過暴力破解密碼,成功登陸
    • 1.确定密碼字典,利用hydra進行爆破。
  • 三. 抓包改指令,為我所用
    • 1.分析界面
    • 2.BP抓包,修改指令
    • 3 進入使用者家目錄收集資訊
    • 4.hydra爆破ssh賬戶密碼。
  • 四.ssh登陸
  • 總結- - -思路

前言

在本章将介紹DC-4靶機的攻略。

DC-1攻略:點選這裡!

DC-2攻略:點選這裡!

提示:以下是本篇文章正文内容,下面案例可供參考

一、DC-4的資訊收集

1.确定IP,端口号;

指令:nmap -sP 192.168.159.0/24
           

探測到主機的ip為192.168.159.131,下一步進行端口判斷;

指令:nmap -A -p 1-10000 192.168.159.131  
-A是進行全面掃描 -p設定端口掃描範圍
           

探測到目标主機開放22ssh端口和80端口。

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

2 通路目标80端口,收集資訊

浏覽器輸入對方IP,通路對方網址,發現是個登陸界面。

通過頁面資訊可以判斷出是個背景管理界面

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

檢視源碼,我們可以收集到以下資訊:

1.頁面通過post送出

2.使用者名的由username接收

3.密碼由password接收

4.表單資訊送出到login.php頁面進行登陸判斷

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

在這步我們嘗試建構語句試圖繞過用來校驗賬号密碼的SQL語句。

失敗了,且沒有任何頁面提示。嘗試密碼爆破吧。

二、通過暴力破解密碼,成功登陸

1.确定密碼字典,利用hydra進行爆破。

由于該頁面為背景管理界面,是以我們猜測賬号為admin,密碼未知。

KALI系統自帶一個密碼字典,大概幾十M

位置在/usr/share/wordlists/rockyou.txt.gz
           

我們利用hydra(海德拉)進行爆破

建構語句:hydra -l admin -P /usr/share/wordlists/rockyou.txt.gz 192.168.159.131 http-post-form "/login.php:username=\^USER\^&password=^PASS^:S=logout" -F
           
DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

成功拿到賬号 admin 密碼 happy

三. 抓包改指令,為我所用

1.分析界面

進入後我們點選command,發現是三個指令,點選run就能執行

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

由此我們可以可知:看來run運作的就是command指令,能否用抓包工具來修改指令?

2.BP抓包,修改指令

我們打開BP ,設定好代理,進行抓包,果然發現指令:radio=

修改指令whoami,果然運作成功。

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

由此我們可以檢視目标的/etc/passwd檔案。

passwd檔案儲存着使用者資訊清單
DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

3 進入使用者家目錄收集資訊

經過進入三個家目錄,發現jim的家目錄裡有一個備份資訊,讓我們進去看看

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路
DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

原來bak是個密碼檔案,想起來我們之前的端口還有ssh也是開放的,可能這個密碼檔案就包含三個使用者的密碼。

4.hydra爆破ssh賬戶密碼。

我們将密碼導出存放為passwd.txt檔案

利用hydra爆破出ssh的賬戶密碼。

指令:hydra -L /tmp/user.txt -P /tmp/passwd.txt ssh://192.168.159.131
           

注意:這裡的user.txt存儲的是我們找到的三個使用者名,jim,charles,sam

passwd.txt存儲的是我們找到的密碼資訊。

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路
成功爆破出 jim的密碼為jibril04

四.ssh登陸

利用第三步爆出的密碼,我們進行ssh登陸。

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

成功登陸,想看一下我們可以執行什麼指令。發現并沒有權限。

看一下ls,發現裡面有一個mbox檔案,我們cat檢視一下。

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

發現内容是一篇郵件,既然是郵件我們就去該使用者的郵箱看看有沒有可以用的資訊。

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

打開我們發現的jim郵件,發現是charles發的,還附上了他的密碼,由于我們之前爆破隻爆破出jim的密碼,在這裡又得到了charles的密碼,是以我們切換使用者到charles看看。

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

進入該使用者,檢視一下自己有什麼指令可以執行,發現該賬号并沒有sudo的權限。但是有teehee這條指令。經過查找和老師的講解。發現teehee其實是tee的變式。tee的作用是

tee-從标準輸入讀取并寫入标準輸出和檔案
           

由于我們沒有sudo權限,也就沒有辦法切換成root使用者,但是teehee給了我們機會,輸入此代碼:

echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers
這句話的意思是将charles使用者賦予執行sudo的權限添加到/etc/sudoers裡。
| 是管道符 将前面的輸出添加到後面
sudo teehee -a 是用管理者權限使用teehee -a指令
teehee -a 是添加一條語句到 /etc/sudoers裡
/etc/sudoers 裡存着的使用者都有執行sudo的權限。
           

添加成功,這時候我們sudo su 轉換到root使用者!成功!

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

進入到使用者目錄 cd ~

發現flag,打開,奪旗成功。

DC-4靶機攻略前言一、DC-4的資訊收集二、通過暴力破解密碼,成功登陸三. 抓包改指令,為我所用四.ssh登陸總結- - -思路

總結- - -思路

1.首先判斷一下目标主機IP 和 端口

2.靶機能開放的端口肯定都有用,優先通路80.

3.通路80 判斷登入視窗表單送出方式,賬戶和密碼由誰接收

4.通過hydra 進行爆破 如果不會使用 --help

5.爆破出後進入界面發現是三條指令通過run執行

6.我們通過抓包修改run執行的指令,首先擷取passwd使用者名,通過使用者名家目錄擷取一個密碼字典。

7.判斷該字典用于SSH,我們繼續用hydra進行爆破

8.爆破出SSH使用者密碼,成功登陸

9.登陸後發現我們并沒有sudo切換使用者權限,但是卻可以用teehee指令。

10.用sudo teehee -a指令添加使用者到/erc/sudoers

11.成功添加,使用sudo su 成功切換root使用者

12.到root家目錄,成功奪旗。

希望這篇文章對你有所幫助,求點贊~~(╹▽╹)~~

繼續閱讀