靶机概览
详情介绍请参考下载地址
任务目标:拿下系统的root账户
下载地址:https://www.vulnhub.com/entry/dc-4,313/
靶机界面:
信息收集
由于我这里采用了NAT,所以很容易确定目标机器,如果你的网络环境里有众多机器,并且系统版本与靶机相似,且不方便更换连接虚拟机的方式,你可以先查看一下DC4的MAC,这样做主机发现时可以通过MAC来过滤靶机。
nmap信息收集
1:使用nmap作网段的主机发现,确定靶机地址是192.168.40.133
2:继续使用nmap对靶机做进一步探测
3:既然靶机开放了80端口,那就先去看看,看到醒目的“Admin Information Systems Login”,应该是从这个页面下手,试了几个弱密码没有成功,那就尝试**吧,盲猜用户名应该是“admin”
**后台
使用字典**
在kali的/usr/share/john/password.lst里面存在一些适合**的密码,把它当作字典
登进后台
毫无疑问,肯定点击“Command”,发现可以执行一些命令
那就有意思了,尝试截包,看看能不能更改发出去的命令
命令注入漏洞
其中,radio=ls+-l的加号表示空格,所以原本的意思的ls -l
篡改命令后,查看到了我是谁
这意味着,靶机存在命令注入漏洞!
敏感信息收集
可以发现,靶机上存在3个用户
去他们的家目录溜达溜达
在jim家发现一个可能有趣的文件
看到这个敏感文件是一个字典,联想到靶机开了22端口,思路豁然开朗。
SSH**
首先把上面的密码字典复制到kali中,命名文件password.txt,同样的,创建用户名文件user.txt
使用hydra**:hydra -L user.txt -P password.txt ssh://192.168.40.133 -vV -o hydra.ssh
之后会看到jim的密码是jibril04,尝试ssh连接
SSH登录
找到了一封root写给jim的邮件
去/var/mail再看看有没有其他有意思的信息,找到了一封charles写给jim的邮件,并且看到了charles的账户密码
使用ssh登录charles的账户,但是好像没有什么有趣的文件
暂时没有什么好玩的了,开始提权,做点别的事情
提权
首先发现jim不能使用sudo权限,难怪靶机还给了我charles的账户,发现charles可以使用/usr/bin/teehee,并且不需要使用root密码
查看一下这个命令的帮助手册,思路再次打开,使用-a参数在/etc/passwd文件里面新建一个有管理员权限的用户
创建一个管理员
首先来了解一下/etc/passwd的格式
以管理员身份登录
由于我们没有设置密码,结果空密码ssh没登陆进去
有点尴尬,不过没关系,我们可以切换用户
【额外补充:没有给新用户创建密码是因为你创建了也没有用,因为第2个位置是密码占位符,是占位符!!!】