文章目錄
- 前言
- 一、DC-4的資訊收集
-
- 1.确定IP,端口号;
- 2 通路目标80端口,收集資訊
- 二、通過暴力破解密碼,成功登陸
-
- 1.确定密碼字典,利用hydra進行爆破。
- 三. 抓包改指令,為我所用
-
- 1.分析界面
- 2.BP抓包,修改指令
- 3 進入使用者家目錄收集資訊
- 4.hydra爆破ssh賬戶密碼。
- 四.ssh登陸
- 總結- - -思路
前言
在本章将介紹DC-4靶機的攻略。
DC-1攻略:點選這裡!
DC-2攻略:點選這裡!
提示:以下是本篇文章正文内容,下面案例可供參考
一、DC-4的資訊收集
1.确定IP,端口号;
指令:nmap -sP 192.168.159.0/24
探測到主機的ip為192.168.159.131,下一步進行端口判斷;
指令:nmap -A -p 1-10000 192.168.159.131
-A是進行全面掃描 -p設定端口掃描範圍
探測到目标主機開放22ssh端口和80端口。
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsICM38FdsYkRGZkRG9lcvx2bjxiNx8VZ6l2cs0TPB9keRpmT4NmeOBDOsJGcohVYsR2MMBjVtJWd0ckW65UbM5WOHJWa5kHT20ESjBjUIF2X0hXZ0xCMx81dvRWYoNHLrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnLidTO1UWMjRTZ3EGM4ITN5YGNzQTM3IDMzYTNlZDZyQzLc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
2 通路目标80端口,收集資訊
浏覽器輸入對方IP,通路對方網址,發現是個登陸界面。
通過頁面資訊可以判斷出是個背景管理界面
檢視源碼,我們可以收集到以下資訊:
1.頁面通過post送出
2.使用者名的由username接收
3.密碼由password接收
4.表單資訊送出到login.php頁面進行登陸判斷
在這步我們嘗試建構語句試圖繞過用來校驗賬号密碼的SQL語句。
失敗了,且沒有任何頁面提示。嘗試密碼爆破吧。
二、通過暴力破解密碼,成功登陸
1.确定密碼字典,利用hydra進行爆破。
由于該頁面為背景管理界面,是以我們猜測賬号為admin,密碼未知。
KALI系統自帶一個密碼字典,大概幾十M
位置在/usr/share/wordlists/rockyou.txt.gz
我們利用hydra(海德拉)進行爆破
建構語句:hydra -l admin -P /usr/share/wordlists/rockyou.txt.gz 192.168.159.131 http-post-form "/login.php:username=\^USER\^&password=^PASS^:S=logout" -F
成功拿到賬号 admin 密碼 happy
三. 抓包改指令,為我所用
1.分析界面
進入後我們點選command,發現是三個指令,點選run就能執行
由此我們可以可知:看來run運作的就是command指令,能否用抓包工具來修改指令?
2.BP抓包,修改指令
我們打開BP ,設定好代理,進行抓包,果然發現指令:radio=
修改指令whoami,果然運作成功。
由此我們可以檢視目标的/etc/passwd檔案。
passwd檔案儲存着使用者資訊清單
3 進入使用者家目錄收集資訊
經過進入三個家目錄,發現jim的家目錄裡有一個備份資訊,讓我們進去看看
原來bak是個密碼檔案,想起來我們之前的端口還有ssh也是開放的,可能這個密碼檔案就包含三個使用者的密碼。
4.hydra爆破ssh賬戶密碼。
我們将密碼導出存放為passwd.txt檔案
利用hydra爆破出ssh的賬戶密碼。
指令:hydra -L /tmp/user.txt -P /tmp/passwd.txt ssh://192.168.159.131
注意:這裡的user.txt存儲的是我們找到的三個使用者名,jim,charles,sam
passwd.txt存儲的是我們找到的密碼資訊。
成功爆破出 jim的密碼為jibril04
四.ssh登陸
利用第三步爆出的密碼,我們進行ssh登陸。
成功登陸,想看一下我們可以執行什麼指令。發現并沒有權限。
看一下ls,發現裡面有一個mbox檔案,我們cat檢視一下。
發現内容是一篇郵件,既然是郵件我們就去該使用者的郵箱看看有沒有可以用的資訊。
打開我們發現的jim郵件,發現是charles發的,還附上了他的密碼,由于我們之前爆破隻爆破出jim的密碼,在這裡又得到了charles的密碼,是以我們切換使用者到charles看看。
進入該使用者,檢視一下自己有什麼指令可以執行,發現該賬号并沒有sudo的權限。但是有teehee這條指令。經過查找和老師的講解。發現teehee其實是tee的變式。tee的作用是
tee-從标準輸入讀取并寫入标準輸出和檔案
由于我們沒有sudo權限,也就沒有辦法切換成root使用者,但是teehee給了我們機會,輸入此代碼:
echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers
這句話的意思是将charles使用者賦予執行sudo的權限添加到/etc/sudoers裡。
| 是管道符 将前面的輸出添加到後面
sudo teehee -a 是用管理者權限使用teehee -a指令
teehee -a 是添加一條語句到 /etc/sudoers裡
/etc/sudoers 裡存着的使用者都有執行sudo的權限。
添加成功,這時候我們sudo su 轉換到root使用者!成功!
進入到使用者目錄 cd ~
發現flag,打開,奪旗成功。
總結- - -思路
1.首先判斷一下目标主機IP 和 端口
2.靶機能開放的端口肯定都有用,優先通路80.
3.通路80 判斷登入視窗表單送出方式,賬戶和密碼由誰接收
4.通過hydra 進行爆破 如果不會使用 --help
5.爆破出後進入界面發現是三條指令通過run執行
6.我們通過抓包修改run執行的指令,首先擷取passwd使用者名,通過使用者名家目錄擷取一個密碼字典。
7.判斷該字典用于SSH,我們繼續用hydra進行爆破
8.爆破出SSH使用者密碼,成功登陸
9.登陸後發現我們并沒有sudo切換使用者權限,但是卻可以用teehee指令。
10.用sudo teehee -a指令添加使用者到/erc/sudoers
11.成功添加,使用sudo su 成功切換root使用者
12.到root家目錄,成功奪旗。
希望這篇文章對你有所幫助,求點贊~~(╹▽╹)~~