DC4靶机练习
文章目錄
- 1、查看靶機的mac地址
- 2、打開網頁發現了需要密賬號和密碼進行登錄
- 3、用戶名admin,密碼:happy進行登錄
- 4、ssh爆破
- 5、登錄成功后,查看相關文件
- 6、提權
實驗環境:DC-4靶機,kali攻擊機
靶機:
鏈接:https://pan.baidu.com/s/1naWHuZDDwWOI2zqO6vG6OA 提取碼:rkzw
1、查看靶機的mac地址
掃描C段網絡
nmap -sP 192.168.246.130/24 -o nmap.sP
發現目標主機的ip地址為192.168.246.143
掃描目標主機開放的端口
nmap -A 192.168.246.143 -p 1-65535 -oN nmap.A
開放了80端口,可以訪問網頁
開放了22端口,可以嘗試爆破
2、打開網頁發現了需要密賬號和密碼進行登錄
可以嘗試使用bp進行爆破
根據提示,用戶名極有可能是admin,所以只需要對admin進行爆破
尋找爆破的密碼字典,在kali中尋找/usr/share/john/passwd.lit
正式爆破,結果:
得知密碼為happy
3、用戶名admin,密碼:happy進行登錄
打開可以發現能夠執行相關命令
使用bp繼續抓包分析命令是怎么執行的
這是執行命令抓到的包
嘗試輸入whoami看能否執行
發現有顯示結果,這表示存在命令注入漏洞
查看/etc/passwd
查看家目錄
依次查看每個用戶目錄
在查看jim目錄時發現了一個備份的密碼字典
查看這個密碼字典
將密碼復制保存到文件中
4、ssh爆破
創建用戶名文件,將三個用戶名加入進去
hydra -L user.dic -P old-passwd.bak ssh://192.168.246.143 -vV -o hydra.ssh
可以得到用戶名為jim,密碼為jibril04
使用ssh進行登錄
ssh jim@192.168.246.143
5、登錄成功后,查看相關文件
test.sh無作用,接著查看mbox里面的內容
發現了一份root發給jim的郵件,這個時候可以從郵件入手。
查看郵件
查看jim
發現了一封charles發給jim的郵件,里面有charles的密碼:^xHhA&hvim0y
重開終端進行連接
登錄后發現什么都沒有
6、提權
使用jim用戶提權
提示說jim用戶不能夠提權,所以使用charles進行提權試試
提示teehee
輸入teehee --help查看詳解
-a參數可以追加內容
可以在/etc/passwd內追加用戶,偽造uid為0的用戶
需要觀察/etc/passwd結構,共7個字段
sudo teehee -a /etc/passwd
aaa::0:0:::/bin/bash
總結
- 上一篇: Gremlin学习
- 下一篇: 旗舰手机2021的破局关键:抓住细分市场