DC-4靶機攻略

文章目錄

• 前言
• 一、DC-4的資訊收集
• • 1.确定IP，端口号；
  • 2 通路目标80端口，收集資訊
• 二、通過暴力破解密碼，成功登陸
• • 1.确定密碼字典,利用hydra進行爆破。
• 三. 抓包改指令，為我所用
• • 1.分析界面
  • 2.BP抓包，修改指令
  • 3 進入使用者家目錄收集資訊
  • 4.hydra爆破ssh賬戶密碼。
• 四.ssh登陸
• 總結- - -思路

前言

在本章将介紹DC-4靶機的攻略。

DC-1攻略：點選這裡！

DC-2攻略：點選這裡！

提示：以下是本篇文章正文内容，下面案例可供參考

一、DC-4的資訊收集

1.确定IP，端口号；

指令：nmap -sP 192.168.159.0/24
           

探測到主機的ip為192.168.159.131，下一步進行端口判斷；

指令：nmap -A -p 1-10000 192.168.159.131  
-A是進行全面掃描 -p設定端口掃描範圍
           

探測到目标主機開放22ssh端口和80端口。

2 通路目标80端口，收集資訊

浏覽器輸入對方IP，通路對方網址，發現是個登陸界面。

通過頁面資訊可以判斷出是個背景管理界面

檢視源碼，我們可以收集到以下資訊：

1.頁面通過post送出

2.使用者名的由username接收

3.密碼由password接收

4.表單資訊送出到login.php頁面進行登陸判斷

在這步我們嘗試建構語句試圖繞過用來校驗賬号密碼的SQL語句。

失敗了，且沒有任何頁面提示。嘗試密碼爆破吧。

二、通過暴力破解密碼，成功登陸

1.确定密碼字典,利用hydra進行爆破。

由于該頁面為背景管理界面，是以我們猜測賬号為admin，密碼未知。

KALI系統自帶一個密碼字典，大概幾十M

位置在/usr/share/wordlists/rockyou.txt.gz
           

我們利用hydra（海德拉）進行爆破

建構語句：hydra -l admin -P /usr/share/wordlists/rockyou.txt.gz 192.168.159.131 http-post-form "/login.php:username=\^USER\^&password=^PASS^:S=logout" -F
           

成功拿到賬号 admin 密碼 happy

三. 抓包改指令，為我所用

1.分析界面

進入後我們點選command，發現是三個指令，點選run就能執行

由此我們可以可知：看來run運作的就是command指令，能否用抓包工具來修改指令？

2.BP抓包，修改指令

我們打開BP ，設定好代理，進行抓包，果然發現指令：radio=

修改指令whoami，果然運作成功。

由此我們可以檢視目标的/etc/passwd檔案。

passwd檔案儲存着使用者資訊清單

3 進入使用者家目錄收集資訊

經過進入三個家目錄，發現jim的家目錄裡有一個備份資訊，讓我們進去看看

原來bak是個密碼檔案，想起來我們之前的端口還有ssh也是開放的，可能這個密碼檔案就包含三個使用者的密碼。

4.hydra爆破ssh賬戶密碼。

我們将密碼導出存放為passwd.txt檔案

利用hydra爆破出ssh的賬戶密碼。

指令：hydra -L /tmp/user.txt -P /tmp/passwd.txt ssh://192.168.159.131
           

注意：這裡的user.txt存儲的是我們找到的三個使用者名,jim,charles,sam

passwd.txt存儲的是我們找到的密碼資訊。

成功爆破出 jim的密碼為jibril04

四.ssh登陸

利用第三步爆出的密碼，我們進行ssh登陸。

成功登陸，想看一下我們可以執行什麼指令。發現并沒有權限。

看一下ls，發現裡面有一個mbox檔案，我們cat檢視一下。

發現内容是一篇郵件，既然是郵件我們就去該使用者的郵箱看看有沒有可以用的資訊。

打開我們發現的jim郵件，發現是charles發的，還附上了他的密碼，由于我們之前爆破隻爆破出jim的密碼，在這裡又得到了charles的密碼，是以我們切換使用者到charles看看。

進入該使用者，檢視一下自己有什麼指令可以執行，發現該賬号并沒有sudo的權限。但是有teehee這條指令。經過查找和老師的講解。發現teehee其實是tee的變式。tee的作用是

tee-從标準輸入讀取并寫入标準輸出和檔案
           

由于我們沒有sudo權限，也就沒有辦法切換成root使用者，但是teehee給了我們機會，輸入此代碼：

echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers
這句話的意思是将charles使用者賦予執行sudo的權限添加到/etc/sudoers裡。
| 是管道符 将前面的輸出添加到後面
sudo teehee -a 是用管理者權限使用teehee -a指令
teehee -a 是添加一條語句到 /etc/sudoers裡
/etc/sudoers 裡存着的使用者都有執行sudo的權限。
           

添加成功，這時候我們sudo su 轉換到root使用者！成功！

進入到使用者目錄 cd ~

發現flag，打開，奪旗成功。

總結- - -思路

1.首先判斷一下目标主機IP 和 端口

2.靶機能開放的端口肯定都有用，優先通路80.

3.通路80 判斷登入視窗表單送出方式，賬戶和密碼由誰接收

4.通過hydra 進行爆破 如果不會使用 --help

5.爆破出後進入界面發現是三條指令通過run執行

6.我們通過抓包修改run執行的指令，首先擷取passwd使用者名，通過使用者名家目錄擷取一個密碼字典。

7.判斷該字典用于SSH，我們繼續用hydra進行爆破

8.爆破出SSH使用者密碼，成功登陸

9.登陸後發現我們并沒有sudo切換使用者權限，但是卻可以用teehee指令。

10.用sudo teehee -a指令添加使用者到/erc/sudoers

11.成功添加，使用sudo su 成功切換root使用者

12.到root家目錄，成功奪旗。

希望這篇文章對你有所幫助，求點贊~~(╹▽╹)~~